L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El trasllat, per error, d'una sol·licitud d'accés a informació pública on consta identificada la persona sol·licitant a les entitats afectades, vulnera el principi de confidencialitat.
La persona denunciant es queixava que des d'un perfil determinat de Twitter es va publicar informació sobre els seus antecedents penals, així com la seva fotografia. Afirmava que el perfil de Twitter estava gestionat per mossos d'esquadra. Però de la informació aportada (una captura de pantalla d'un missatge de WhasApp que una tercera persona hauria enviat a la seva filla, el qual contenia la fotografia de la persona denunciant i la informació denunciada), no constava l'autoria del mateix, ni tampoc es veia que fos un tuit.
L'Autoritat va iniciar una fase d'investigació prèvia per esbrinar els fets denunciats i va poder constar que el compte denunciat havia estat suspès per la xarxa social per contravenir les condicions d'ús de Twitter, que des de distints perfils d'usuari s'havien fet diversos tuits similars als fets denunciants i que la informació sobre els antecedents penals i la fotografia també havia estat publicada per diversos mitjans de comunicació digitals. Tot feia pensar que l'origen de la informació es trobava en les publicacions dels diaris digitals i en el debat d'opinió posterior sobre els fets noticiables que va tenir lloc en Twitter. En aquest cas, no es va poder determinar qui estava darrere el perfil de Twitter denunciat, perquè el compte estava suspès i no es podia accedir a cap informació.
La normativa de protecció de dades no impedeix l’accés del reclamant a l’informe sol·licitat, incloses les dades merament identificatives de l’inspector d’educació que el signa, dels presidents entrant i sortint de l’AMPA i del director i director adjunt dels Serveis Territorials, així com a les seves pròpies dades. Pel que fa a les dades del director de l’institut caldria limitar l’accés a les valoracions recollides en l’informe quan siguin reproducció de les valoracions dels informes de la Inspecció d’Educació en relació amb l’exercici de la Funció Directiva.
La normativa de protecció de dades no impedeix comunicar al representant dels treballadors la informació individualitzada que sol·licita, amb indicació de la identitat (nom i cognoms) dels treballadors afectats per l’acord d’absorció del complement de productivitat i la quantia que ha suposat aquest acord per a cadascun dels treballadors.
El regidor no pot accedir a l’expedient complet sol·licitat, relatiu a diversos procediments d’alta al Padró de persones vulnerables, si bé, als efectes de controlar i fiscalitzar la gestió del Padró duta a terme per l’Ajuntament, se li pot lliurar determinada informació sobre aquestes altes: data, domicili, justificació en els termes apuntats a l’informe, i les dades identificatives de les persones afectades.
La normativa de protecció de dades no impedeix l’accés del reclamant a les retribucions complementàries sol·licitades, així com a les dietes i les indemnitzacions corresponents al personal que ocupi llocs directius, de confiança, de lliure designació, d’especial responsabilitat, o que impliquin alts nivells retributius, en els termes del FJ VI d’aquest informe. Pel que fa a la resta de persones treballadores de la GT, la normativa de protecció de dades no impediria l’accés al llistat de retribucions complementàries, dietes i indemnitzacions percebudes durant el període de temps sol·licitat, sempre que aquesta informació es faciliti substituint el nom i cognoms de les persones treballadores per un codi que no permeti identificar-les.
La normativa de protecció de dades no impedeix l’accés per part de la persona reclamant a la identitat (nom i cognoms i les xifres 4 a 7 del número de DNI) dels treballadors inclosos a la relació de sol·licituds de mobilitat voluntària que hagin obtingut un lloc de treball en virtut del mecanisme de mobilitat previst a la normativa, identificant la data de la sol·licitud i el lloc obtingut. Això, llevat que en algun cas la comunicació de la informació pugui revelar informació protegida per l’article 23 LTC. No resulta justificat l’accés de la persona reclamant a la identitat de la resta de persones que consten inscrites al registre de mobilitat i que no han obtingut un nou lloc de treball en virtut d’aquest mecanisme de mobilitat.
La presentació juntament amb la sol·licitud de teletreball d’un checklist amb les condicions del lloc de treball (alçada de la taula, alçada del seient a terra, tipus d’espatllera, amplada d’espatllera, espai lliure per les cames) així com una fotografia en la que només surtin a la imatge les eines de treball de les quals disposa el treballador (cadira, taula, pantalla, teclat) troba habilitació a l’article 6.1.c) de l’RGPD per tal que l’Ajuntament pugui complir la seva obligació en relació amb les condicions que han de reunir els llocs de treball en la seva prestació mitjançant teletreball, i s’adequaria al principi de minimització de dades (art. 5.1.c) RGPD).
S'amonesta l'entitat com a responsable d'una infracció molt greu per vulneració del principi de confidencialitat, per haver enviat a 57 docents un correu electrònic sense utilitzar l'opció de còpia oculta, en què els demanava la remissió dels comunicats de baixa mèdica per reenviar-los a MUFACE.
La persona denunciant exposava que un veí, marit d'una infermera que treballava en l'entitat denunciada, era coneixedor de les seves dades de salut perquè la seva dona hauria accedit al seu historial mèdic. Basava la seva sospita en unes paraules que van creuar arran d'una discussió entre la filla de la persona denunciant i el marit de l'esmentada infermera.
Segons l'entitat denunciada, l'auditoria d'accessos per cerca de pacient no va donar cap registre d'accés a la persona denunciant i tampoc no constava en els seus registres cap activitat assistencial realitzada a la persona denunciant. Aquesta darrera afirmació va ser avalada per l la mateixa persona denunciant que afirmava que mai no s'havia visitat en la Clínica denunciada. D'altra banda, l'expressió que hauria fet sospitar d'un accés indegut a les seves dades de salut, no es refereix a cap diagnòstic o dada de salut concreta.