L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix conèixer, en els termes exposats, la informació continguda en la relació de llocs de treball, així com la informació relativa al procediment d’accés pel que fa a la identitat i puntuacions obtingudes i data del seu nomenament o, si escau, la part dels acords de traspassos que acrediti l’adscripció de d’una treballadora a l’entitat. Per contra, no resultaria justificat l’accés a la identitat i les puntuacions de la resta de persones que haguessin participat als processos selectius ni, ateses les circumstàncies que concorren en el cas particular, les dades dels membres de la comissió mixta, les dades de la resta de personal transferit, o altres dades de la treballadora afectada per la sol·licitud sobre la seva situació contractual, antiguitat o situació administrativa que poguessin constar als referits acords de traspassos.
La recollida de dades ha de respectar el principi de lleialtat. Per al tractament de categories especials de dades, és necessari que concorri alguna de les circumstàncies previstes a l'article 9.2 RGPD. En la recollida de dades s'ha de fer efectiu el dret d'informació. Per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades, cal efectuar un anàlisi de riscos. Amb caràcter previ al tractament, cal realitzar una avaluació d'impacte relativa a la protecció de dades quan el tractament comporti un alt risc per als drets i llibertats de les persones afectades. El delegat de protecció de dades ha de participar de manera adequada i en el moment oportú en totes les qüestions relatives a la protecció de dades personals.
S'amonesta un ajuntament com a responsable d'una infracció relativa a la vulneració del principi de licitud, per haver notificat una proposta de resolució a 106 persones a qui s'identificava amb el nom i cognoms junt amb la informació que se'ls mantenia la percepció d'un concepte retributiu vinculat al factor horari especial, seguit del número del complement destinació (102 persones), i en el cas de 4 persones, també es proposava retirar el complement de sou, revelant que no feien un horari especial i que els havien fet pagaments indeguts.
La publicació d'actes administratius on constin identificades les persones beneficiàries d'una ajuda pública, requereix la concurrència d'una base jurídica que legitimi el tractament. En el present cas, no concorria cap dels supòsits que preveuen la publicació dels actes administratius de conformitat amb l'art. 45 LPAC. Al seu torn, la normativa de transparència estableix que en el cas de subvencions i ajuts públics atorgats per motius de vulnerabilitat social, com succeïa en el present cas, s'ha de preservar la identitat dels beneficiaris.
Ha quedat acreditat que la persona reclamant va exercir davant de l'entitat reclamada el dret d'accés respecte a les seves dades personals contingudes en expedients sancionadors instruïts contra ella i ja finalitzats, i també consta acreditat que no va rebre resposta per part de l'entitat reclamada.
Tot i que la comunicació de dades dels alumnes efectuada per l'institut pugui fonamentar-se en alguna de les bases jurídiques que legitimen el tractament, cal respectar els altres principis que preveu l'RGPD, com ara el principi de minimització. En aplicació del principi de minimització, només es poden comunicar les dades dels alumnes al grup de recerca si les dades són necessàries per assolir la finalitat de recerca pretesa.
Tot i que la comunicació de dades dels alumnes efectuada per l'institut pugui fonamentar-se en alguna de les bases jurídiques que legitimen el tractament, cal respectar els altres principis que preveu l'RGPD, com ara el principi de minimització. En aplicació del principi de minimització, només es poden comunicar les dades dels alumnes al grup de recerca si les dades són necessàries per assolir la finalitat de recerca pretesa.
Tot i que la comunicació de dades dels alumnes efectuada per l'institut pugui fonamentar-se en alguna de les bases jurídiques que legitimen el tractament, cal respectar els altres principis que preveu l'RGPD, com ara el principi de minimització. En aplicació del principi de minimització, només es poden comunicar les dades dels alumnes al grup de recerca si les dades són necessàries per assolir la finalitat de recerca pretesa.
L'accés per part del personal d'infermeria de l'ICAM a la història clínica de primària, fins al desembre de 2020 -en què es va aprovar el Decret Llei 48/2020- no era lícit en la mesura que no concorria cap de les excepcions previstes a l'art. 9 RGPD.
S'arxiva la queixa sobre la previsió en el protocol del Dept d'EDU, pel curs 2019-2020, perquè l'eventual infracció que podria comportar que en els formularis de baixa editats per MUFACE s'hi reculli la dada del codi "CIE", a partir del qual es pot conèixer la malaltia motiu de la baixa laboral, no és competència d'aquesta Autoritat. A part, es considera que els directors dels centres educatius tenen potestat per recepcionar i custodiar els dit formularis, d'acord amb les funcions que tenen atribuïdes per la normativa sectorial, i durant els terminis previstos per la corresponent TAAD.