L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Resolució d'arxiu en base al dret a la presumpció d'innocència, atès que no hi ha proves que acreditin els fets denunciats, els quals al seu torn són negats per l'ajuntament (certificació del secretari) i per la persona que, segons la persona denunciant, va manifestar que l'Ajuntament li havia revelat el contingut de la queixa presentada contra la seva empresa.
S'estima la reclamació per raons formals, atès que el centre a qui el Departament de Salut encarregà l'atenció dels drets d'autodeterminació informativa, va contestar un cop superat el termini d'un mes. Sense que sigui necessari efectuar un pronunciament sobre el fons, atesa la conformitat de la persona reclamant amb la documentació lliurada.
La captació d'imatges de persones que transiten per la via pública més enllà del que resulta inevitable per assolir la finalitat de seguretat de l'edifici i de les persones que accedien al seu interior, contravé el principi de minimització. En l'àmbit de videovigilància, a banda d'informar de l'existència de les càmeres a través d'un cartell, el responsable ha de mantenir a disposició de les persones afectades la informació que preveu l'article 13 de l'RGPD.
En el cas analitzat l’Ajuntament estaria obligat a comunicar la informació que resulti pertinent per a les finalitats previstes en l’article 22.2 LOPD quan hi hagi un perill real per a la seguretat pública o la investigació i persecució de delictes per part dels cossos policials. Tot i que no hi ha en la normativa estudiada una previsió expressa sobre l’obligació de formalitzar la sol·licitud d’informació necessàriament per escrit, resulta justificat que la sol·licitud d’informació del cos policial es concreti per escrit, atesa l’obligació que recau sobre l’Ajuntament de donar compliment al principi de responsabilitat proactiva. La comunicació de dades personals sense que es compleixin els principis de protecció de dades, pot ser constitutiva d’una infracció per vulneració dels dits principis (art. 83.5 RGPD).
El responsable del tractament ha d'efectuar una anàlisi de riscos per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades que s'envien a través de correu electrònic.
El responsable del tractament ha de garantir l'exactitud de les dades. En el present cas, el responsable va vincular el un determinat expedient al DNI de la persona denunciant, qui era aliena a aquell expedient. Això va comportar que quan la persona denunciant accedia a la carpeta ciutadana de l'oficina virtual de tràmits, podia accedir a informació vinculada a aquell expedient.
No es vulnera el principi de confidencialitat. L'entitat tenia implementat un procediment normalitzat per a la gestió de les nòmines dels seus treballadors. Tanmateix, per causes sobrevingudes i de força major, aquest es va veure forçosament alterat durant el pic de la pandèmia. Amb tot, no ha quedat acreditat que el sistema adoptat durant aquest període comportés un risc significatiu d'accés indegut al contingut de les nòmines dels treballadors.
L'Ajuntament va facilitar l'accés a una tercera persona a les instàncies presentades per les persones denunciants, sense ocultar les dades personals contingues a les dites instàncies. Vulneració del principi de confidencialitat ( art.5.1.f. RGPD).
Es declara que l'escola ha comès dues infraccions: En primer lloc, una infracció lleu (art. 83.5.b RGPD i art. 74.a LOPDGDD) per haver recollit, a través d'un formulari accessible a través del web de l'escola, dades de les persones sol·licitants d'un tractament odontològic gratuït prestat per alumnes en el marc de les pràctiques de dos cursos acadèmics, sense haver-los informat prèviament de tots els extrems previstos a l'art. 13 del RGPD, i se l'imposa una multa de 1.000 euros. I en segon lloc, una infracció mol greu (art. 83.5.a RGPD i art. 72.1.i LOPDGDD), per haver permès l'accés, a través d'una adreça d'internet de l'escola, d'accés sense restriccions, a les dades de les persones sol·licitants del tractament odontològic, vulnerant el seu deure de confidencialitat, i se l'imposa una multa de 4.000 euros.
La normativa de protecció de dades no impedeix l’accés del regidor al registre de defuncions corresponent als anys 1885-1890, 1918-1921, 1957-1959 i 1968-1969, llevat de les dades de salut que hi puguin constar (en concret dades de malalties hereditàries d’inscripcions anteriors a l’1 de gener de 1959). Pel que fa als llibres d’actes, cal donar accés al llibre d’actes, llevat que hi constin categories especials de dades de les persones a les quals afecten els acords adoptats. En relació amb la correspondència relativa als mateixos períodes, no seria ajustat a la normativa de protecció de dades facilitar indiscriminadament l’accés a la correspondència de persones vives, sinó que cal fer una anàlisi cas per cas, a la vista de l’interès del regidor en l’accés i el tipus d’informació a la qual es refereixi la correspondència.