L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Les mesures de seguretat, s'han de determinar tenint en compte els riscos derivats de la pèrdua o l'accés no autoritzat a les dades (entre d'altres). En el present cas, ha quedat acreditat que el responsable de tractament de les dades afectades, no va adoptar les mesures tècniques i organitzatives apropiades per garantir la seva seguretat (tendents a evitar que a aquestes dades hi poguessin accedir persones no autoritzades).
S'amonesta l'ICS com a responsable d'una infracció molt greu per vulneració del principi d'exactitud, per haver publicat erròniament a l'HC3 d'una persona un informe mèdic referit a una altra persona, que contenia dades de salut d'aquesta altra persona.
L’informe raonat examinat pot encaixar en el concepte de resolució administrativa amb rellevància pública a efectes de transparència. L’LTC n’exigeix l’anonimització de les dades personals en la publicació i atès que, en aquest cas, malgrat fer-ho, les persones afectades podrien ser identificables, resultaria acceptable substituir-la per un resum anonimitzat del seu objecte.
El CIFO Hospitalet no va arribar a contestar cap de les diferents sol·licituds que li va enviar la persona denunciant de deixar de rebre correus electrònics publicitaris, i per tant, no va atendre les sol·licituds d'oposició que va fer la persona denunciant al tractament de les seves dades.
La Fundació va contribuir a verificar si els noms i telèfons de membres integrants de famílies acollidores que es trobaven inclosos en una llista elaborada per una tercera persona, eren correctes.
Malgrat ser una entitat privada a la resolució se sanciona amb una Amonestació tenint en compte la manca d'entitat del fet imputat (verificació de dades) i la resta d'atenuants referenciats a la Resolució (categoria de les dades afectades, manca intencionalitat, la 1a vegada, manca de beneficis, entitat sense ànim de lucre..)
La persona reclamant va sol·licitar, mitjançant burofax, l'accés a la seva història clínica i la seva traçabilitat. l'ICS no va tramitar la sol·licitud per no haver emplenat i signat el formulari previst a tal efecte. La reclamació s'estima, atès que l'art. 12 RGPD no permet denegar la sol·licitud per aquest motiu, i quant al fons es reconeix el dret d'accés als documents de la història clínica, amb determinats límits, i pel que fa a la traçabilitat es reconeix només el dret d'accés a la informació sobre els destinataris o categories de destinataris a qui s'hagin comunicat o es prevegin comunicar dades de la reclamant.
La persona denunciant es queixava que una treballadora social havia accedit a la informació referent a que era titular de la renda garantida de ciutadania (RGC), sense el seu consentiment. L'accés va tenir lloc durant la tramitació d'un ajut individual de menjador escolar, que havia sol·licitat la seva exparella. Atès que l'Ajuntament tenia obert un expedient de risc social d'aquesta unitat familiar, en la tramitació de l'ajut de menjador l'Ajuntament havia d'emetre un informe social amb diversa informació, entre la qual havia de figurar els ingressos percebuts per la unitat familiar en concepte de RGC. En el sistema de RGC constava que l'exparella era beneficiària de RGC, i la persona denunciant era la titular de l'ajut (qui l'havia sol·licitat). La denúncia s'arxiva en considerar que la treballadora social va accedir a aquesta dada del denunciant, en exercici i per al compliment de les funcions encomanades.
El pacient, a la vista de la legislació estudiada (legislació d’autonomia del pacient i legislació de transparència, en connexió amb l’article 6.1.c) RGPD), ha de poder conèixer la identitat de les persones que han accedit a la seva història clínica i, si escau, els accessos indeguts que s’hagin pogut produir. Tot i que no forma part del dret d’accés previst a l’RGPD, la normativa de protecció de dades no impedeix que la persona titular de la història clínica pugui accedir a informació sobre el caràcter degut o indegut dels accessos a la historia clínica, si el responsable disposa d’aquesta informació.
Sobre la base de la normativa d’autonomia del pacient, i la documentació clínica, en relació amb la base jurídica de l’article 6.1.e) i 9.2.h) de l’RGPD, l’accés dels educadors socials a la informació que consta en la història clínica dels pacients generada pels hospitals de dia de salut mental per adolescents estaria habilitat en la mesura que sigui rellevant per a l’exercici de les seves funcions. Per altra banda, a priori no estaria justificat l’accés dels educadors socials a la informació que forma part de la història clínica compartida de Catalunya (HC3). En el cas de la consulta plantejada, no és d’aplicació la disposició addicional quinzena de la Llei 12/2007, relativa a la comunicació de dades entre els serveis sanitaris i els serveis socials del sistema públic.
La persona reclamant va sol·licitar l'accés a les seves dades telemàticament a la DGP a través del registre electrònic del Departament d'Interior, sense aportar còpia de la documentació justificativa de la seva identitat, i la DGP li va requerir perquè aportés una còpia compulsada del DNI, passaport o NIE en vigor per tal d'acreditar la seva identitat. S'estima la reclamació presentada per la persona reclamant i es requereix a la DGP, perquè faci efectiu el dret d'accés exercit per la persona reclamant.