L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es consideren justificats i per tant conformes a la normativa de protecció de dades i sanitària, els eventuals accessos a la història clínica duts a terme per personal no assistencial per tal de tramitar la consulta plantejada per la persona denunciant a través del portal "La meva Salut".
S'arxiva la denúncia contra l'Ajuntament perquè les dades personals de la denunciant que figuraven en un acord de la junta de govern local, que es va difondre a través de whatsapp entre els veïns del municipi, és una informació que l'Ajuntament estava obligat a publicar pel principi de transparència ( art. 9.1.e LTC).
Cal reconèixer el dret de la persona reclamant a accedir (i obtenir còpia) a la informació sol·licitada sobre la base dels articles 15 de l’RGPD i 24 de l’LTC, sens perjudici de l’eliminació o ocultació de la informació que hi pugui constar sobre els altres treballadors investigats pels fets ocorreguts l’any 2013 a què es refereix la sol·licitud.
La normativa de protecció de dades no impedeix l’accés a les dades previstes a l’article 24.1 LTC i 70.2 RLTC, ni l’accés a la informació relativa a persones jurídiques. No sembla justificat per assolir la finalitat de transparència l’accés a dades de persones compradores d’entrades, sens perjudici que es faciliti la informació amb la prèvia anonimització de les dades. En canvi, l’accés a la identitat de les persones físiques destinatàries d’invitacions o entrades regalades resultaria justificat a efectes de transparència, llevat que del tràmit d’audiència en resultin circumstàncies concretes que justifiquin la limitació o que es tracti de persones que formin part de col·lectius vulnerables.
A manca d’una altra base jurídica que habiliti el tractament, la presència d’un representant d’una associació en l’entrevista d’un ciutadà amb els serveis socials requereix el seu consentiment. En la mesura que pot comportar el tractament de categories especials de dades, haurà de ser explícit. En qualsevol cas, cal informar prèviament el ciutadà sobre els aspectes que preveu l’article 13 de l’RGPD, en especial pel que fa a la comunicació o revelació de dades personals del ciutadà a l’acompanyant, pel fet d’estar present en l’entrevista.
El procés d’anonimització proposat no permetria garantir un tractament de dades anònimes en el si del Projecte a desenvolupar per la Universitat. Tot i això, podria plantejar-se l’opció d’articular el tractament sobre la base del consentiment explícit de les persones afectades, sens perjudici de l’adopció de les mesures escaients per garantir que aquest tractament s’adequa a l’RGPD, com ara, facilitar una informació detallada i clara al respecte, i aplicar les mesures assenyalades al dictamen per dificultar la reidentificació.
La recollida de dades ha de respectar el principi de lleialtat. Per al tractament de categories especials de dades, és necessari que concorri alguna de les circumstàncies previstes a l'article 9.2 RGPD. En la recollida de dades s'ha de fer efectiu el dret d'informació. Per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades, cal efectuar un anàlisi de riscos. Amb caràcter previ al tractament, cal realitzar una avaluació d'impacte relativa a la protecció de dades quan el tractament comporti un alt risc per als drets i llibertats de les persones afectades. El delegat de protecció de dades ha de participar de manera adequada i en el moment oportú en totes les qüestions relatives a la protecció de dades personals.
La normativa de protecció de dades no impedeix conèixer, en els termes exposats, la informació continguda en la relació de llocs de treball, així com la informació relativa al procediment d’accés pel que fa a la identitat i puntuacions obtingudes i data del seu nomenament o, si escau, la part dels acords de traspassos que acrediti l’adscripció de d’una treballadora a l’entitat. Per contra, no resultaria justificat l’accés a la identitat i les puntuacions de la resta de persones que haguessin participat als processos selectius ni, ateses les circumstàncies que concorren en el cas particular, les dades dels membres de la comissió mixta, les dades de la resta de personal transferit, o altres dades de la treballadora afectada per la sol·licitud sobre la seva situació contractual, antiguitat o situació administrativa que poguessin constar als referits acords de traspassos.
No s'exerceix el dret regulat a l'article 15 de l'RGPD quan s'exerceix el dret d'accés a la gravació mantinguda per terceres persones. Correspon a la GAIP tutelar el dret d'accés a la informació pública.
Ha quedat acreditat que la persona reclamant va exercir davant de l'entitat reclamada el dret d'accés respecte a les seves dades personals contingudes en expedients sancionadors instruïts contra ella i ja finalitzats, i també consta acreditat que no va rebre resposta per part de l'entitat reclamada.