L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El consentiment del personal afectat no pot considerar-se una base jurídica adequada per a la implantació d’un sistema de control horari mitjançant reconeixement facial com el que es descriu a la consulta. Seria necessària la previsió d’aquest sistema de control en una disposició legal o en un conveni col·lectiu aplicable, o si escau, en un pacte o acord resultat de la negociació col·lectiva, circumstàncies que no sembla que concorrin en el cas analitzat. En qualsevol cas, abans de la implantació d’un sistema d’aquest tipus, cal fer una avaluació de l’impacte sobre la protecció de dades a la vista de les circumstàncies concretes en què es dugui a terme el tractament per determinar-ne la licitud i la proporcionalitat, inclosa l’anàlisi de l’existència d’alternatives menys intrusives, i establir les garanties adequades.
S'amonesta un Ajuntament com a responsable de 4 infraccions: 1) per captar imatges de la via pública mitjançant les càmeres instal·lades a l'exterior de la microdeixalleria, de manera desproporcionada (es captava la via pública més enllà del que resulta imprescindible); 2) per utilitzar les imatges captades amb fins de seguretat per identificar la persona que no havia dipositat correctament uns residus; 3) Perquè el RAT no inclou tota la informació preceptiva i conté informació inexacta; i 4) Per no informar de forma completa a les persones afectades.
Des del punt de vista de la normativa de protecció de dades no hi ha d’haver impediment en facilitar al regidor la informació reclamada sobre els tiquets, justificants concrets i concepte detallat de la relació de despeses de desplaçaments i dietes presentades per l’alcalde, ometent d’aquests la informació que permeti analitzar o establir certs aspectes relatius a la seva salut, a les seves preferències personals o establir unes pautes de conducta no pertinents per aconseguir la finalitat pretesa. En el cas que la justificació del desplaçament sigui mantenir reunions amb persones físiques que actuen en nom propi diferents als grups d’interès o a persones relacionades amb bens i serveis que pugui requerir l’Ajuntament, caldria facilitar la informació anonimitzada pel que fa a aquestes terceres persones.
La persona reclamant va demanar l'accés a determinats documents d'un procés de mediació en què havia estat part i, per tant, relatius al tractament de les seves dades personals. L'Autoritat va donar trasllat de la reclamació al CG d'Aran, el qual va presentar escrit d'al·legacions. Amb la seva resposta, l'entitat reclamada no va acreditar haver facilitat els documents sol·licitats.
L’elecció del model de recollida selectiva més adequat al municipi requereix d’una avaluació d’impacte relativa a la protecció de dades. L’Ajuntament, en atenció a les competències que té atribuïdes en matèria de gestió de residus, estaria legitimat per dur a terme els tractaments de dades que es deriven de la implantació del sistema de recollida selectiva. Tot i això, a manca de previsió legal específica, l’elaboració de perfils que produeixin efectes jurídics en la persona usuària del servei o que l’afectin significativament de manera similar, requereix comptar amb el consentiment explícit de les persones afectades. La participació de tercers en la implementació d’aquest sistema requereix la formalització d’un contracte d’encarregat i, si escau, de subencarregat, així com, si escau, el compliment de les obligacions establertes al respecte en l’LCSP.
S'amonesta una EUC com a responsable d'una infracció molt greu per haver enviat als veïns associats un correu electrònic sense utilitzar l'opció de còpia oculta. S'arxiva la part de la denúncia relativa a l'enviament, durant la fase de confinament de la pandèmia, de diversos correus oferint serveis de lliurament de comandes a domicili i informatius de telèfons d'interès, atès que per a determinats veïns l'enviament d'aquests correus s'emmarcà en la protecció dels seus interessos vitals, a més del fet que l'EUC actuà amb el convenciment -encara que erroni- que actuava en compliment de les seves funcions.
No correspon a aquesta Autoritat definir els mitjans a través dels quals es realitzi la identificació dels ciutadans per mitjans electrònics en la tramitació administrativa, ni determinar si un sistema d’identificació pot garantir fefaentment la identitat de la persona sol·licitant. Un sistema d’identificació dels interessats que reculli juntament amb les dades del DNI o document identificatiu de l’interessat la seva imatge i veu, pot tenir com a base jurídica l’exercici de poders públics conferits al responsable del tractament en relació a les funcions d’identificació dels interessats en el procediment previst a la normativa de procediment administratiu. Si s’utilitza mitjans tècnics específics que permetin la identificació o l’autenticació unívoques d’una persona física, comportarà el tractament de dades biomètriques i, per tant, categories especials de dades. Per tal que aquest tractament de dades sigui lícit i adequat a la normativa de protecció de dades ha de comptar amb el consentiment vàlid de l’interessat i adequar-se a la resta de principis de l’RGPD entre els quals el principi de minimització, de manera que ateses les circumstàncies concretes del tràmit o tràmits en els quals es pretengui aplicar, superi el judici de proporcionalitat.
Els tractaments de dades a què es refereix la proposta de protocol examinada s’adeqüen a la normativa de protecció de dades, sens perjudici de les consideracions efectuades en aquest dictamen i les que pugui efectuar, com a autoritat de control competent per als tractaments amb finalitats jurisdiccionals, el CGPJ. Tanmateix, és necessari revisar i modificar el formulari d’obtenció del consentiment de l’annex 1 del protocol en el sentit apuntat en l’apartat IV del dictamen.
L'entitat va respondre en termini la sol·licitud de supressió d'història clínica formulada per la reclamant. En quant al fons, les raons esgrimides per l'entitat per no procedir a la supressió de la documentació clínica s'ajustarien a allò que prescriu la normativa de protecció de dades i la legislació sanitària.
S'estima la reclamació perquè el reclamant va sol·licitar l'accés a una determinada informació indicant expressament que fos mitjançant "visualització en pantalla", i el Departament DS li va entregar impressions de pantalla. La normativa vigent (RGPD, LOPDGDD i Real decret 1720/2007) preveuen que l'interessat pugui escollir el mitjà com rebre la informació, i en aquest cas, no es va respectar el canal escollit.