L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'estima la reclamació per raons formals, atès que el centre a qui el Departament de Salut encarregà l'atenció dels drets d'autodeterminació informativa, va contestar un cop superat el termini d'un mes. Sense que sigui necessari efectuar un pronunciament sobre el fons, atesa la conformitat de la persona reclamant amb la documentació lliurada.
El responsable del tractament ha d'efectuar una anàlisi de riscos per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades que s'envien a través de correu electrònic.
El responsable del tractament ha de garantir l'exactitud de les dades. En el present cas, el responsable va vincular el un determinat expedient al DNI de la persona denunciant, qui era aliena a aquell expedient. Això va comportar que quan la persona denunciant accedia a la carpeta ciutadana de l'oficina virtual de tràmits, podia accedir a informació vinculada a aquell expedient.
No es vulnera el principi de confidencialitat. L'entitat tenia implementat un procediment normalitzat per a la gestió de les nòmines dels seus treballadors. Tanmateix, per causes sobrevingudes i de força major, aquest es va veure forçosament alterat durant el pic de la pandèmia. Amb tot, no ha quedat acreditat que el sistema adoptat durant aquest període comportés un risc significatiu d'accés indegut al contingut de les nòmines dels treballadors.
L'Ajuntament va facilitar l'accés a una tercera persona a les instàncies presentades per les persones denunciants, sense ocultar les dades personals contingues a les dites instàncies. Vulneració del principi de confidencialitat ( art.5.1.f. RGPD).
La captació d'imatges de persones que transiten per la via pública més enllà del que resulta inevitable per assolir la finalitat de seguretat de l'edifici i de les persones que accedien al seu interior, contravé el principi de minimització. En l'àmbit de videovigilància, a banda d'informar de l'existència de les càmeres a través d'un cartell, el responsable ha de mantenir a disposició de les persones afectades la informació que preveu l'article 13 de l'RGPD.
Es declara que l'escola ha comès dues infraccions: En primer lloc, una infracció lleu (art. 83.5.b RGPD i art. 74.a LOPDGDD) per haver recollit, a través d'un formulari accessible a través del web de l'escola, dades de les persones sol·licitants d'un tractament odontològic gratuït prestat per alumnes en el marc de les pràctiques de dos cursos acadèmics, sense haver-los informat prèviament de tots els extrems previstos a l'art. 13 del RGPD, i se l'imposa una multa de 1.000 euros. I en segon lloc, una infracció mol greu (art. 83.5.a RGPD i art. 72.1.i LOPDGDD), per haver permès l'accés, a través d'una adreça d'internet de l'escola, d'accés sense restriccions, a les dades de les persones sol·licitants del tractament odontològic, vulnerant el seu deure de confidencialitat, i se l'imposa una multa de 4.000 euros.
El SCT, com a responsable del tractament, no va vetllar perquè la dada del domicili emprada per l'ATC per la pràctica de la notificació de la provisió de constrenyiment a la persona sancionada per una infracció de trànsit, fos la pertinent, que seria la que consta al Registre de vehicles (art. 90 del RDL 6/2015, de 30 d'octubre), i que a tals efectes va comunicar la persona afectada.
La persona denunciant va presentar un recurs de reposició davant l'Ajuntament, i es queixava perquè l'Ajuntament li va notificar la resolució del recurs i a l'apartat de resolc es mostraven les dades del recurs d'una entitat jurídica. Així mateix, la persona denunciant va manifestar la seva preocupació per la possibilitat de que l'Ajuntament hagués pogut facilitar les seves dades a un tercer aliè. S'arxiva, perquè les persones jurídiques estan excloses de protecció a la normativa de protecció de dades i perquè no hi ha cap indici que recolzi la preocupació de la persona denunciant.
Les actuacions que efectua l'Ajuntament per investigar els fets que la persona denunciant va posar de manifest estan emparades en el compliment d'una obligació legal. A les notificacions electròniques generades, només hi ha d'accedir el personal autoritzat.