L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Publicar al lloc web municipal, dues actes de ple sense anonimitzar correctament les dades personals de la persona aquí afectada, algunes d'elles especialment protegides, és constitutiu d'una molt greu infracció. L'Ajuntament havia publicat l'acta amb les inicials, però juntament amb altra informació de l'acta, es podia identificar la persona afectada.
L'Ajuntament va mantenir publicats a la seu electrònica els anuncis dels actes dictats durant la tramitació d'un procés de provisió, que incloïen el nom i cognoms i les puntuacions obtingudes pels participants en les successives proves, tot i que el procés havia finalitzat aproximadament mig any abans i, per tant, de manera clarament excessiva.
Tot i que l'òrgan responsable va estimar la sol·licitud d'oposició de la persona reclamant, no el va executar de manera completa, ja que amb la substitució del nom i cognoms per les inicials de la persona afectada, no s'evitava la seva identificació. És per això que s'estima la reclamació i es requereix que es faci efectiu el dret de manera completa, mitjançant l'anonimització correcta.
Ateses les característiques dels cursos de formació objecte de consulta (molt reduït percentatge de menors afectats i franja d’edat dels menors), no sembla que concorri el requisit de l’habitualitat, per la qual cosa, des de la perspectiva de la protecció de dades resultaria desproporcionat el tractament de categories especials de dades (article 9.1 RGPD).
La normativa de protecció de dades no impediria la publicació de les dades merament identificatives (nom i cognoms i càrrec o grup polític) dels membres electes o dels empleats públics que assisteixen o intervenen com a membres o articipants en les sessions de la Comissió Especial de Transparència i que consten en les respectives actes que s’aixequin, si els assumptes sotmesos a deliberació i votació són considerats d’interès públic, tret que concorri alguna circumstància personal concreta que aconselli la seva omissió. L’article 23 de l’LTC impedeix la publicació de qualsevol altra informació mereixedora d’especial protecció que puguin contenir aquestes actes. La publicació de la resta d’informació personal sobre terceres persones identificades a les actes, exigeix fer una ponderació prèvia entre els diferents drets i interessos en els termes exposats en aquest dictamen.
En la publicació de contractes administratius, a efectes de transparència, la difusió de dades personals hauria d’abastar només el nom i cognoms dels adjudicataris, així com el nom, cognoms i càrrec del treballador públic que hi intervé per raó del càrrec, en ser aquesta la informació mínima necessària per assolir la finalitat pretesa. En cas de tractar-se de convenis de col·laboració, aquesta hauria de limitar-se al nom, cognoms i càrrec de les persones que actuen en representació de les parts signants.
Escau dictar l'arxiu quan no consta acreditat que es revelin dades relatives a la comissió d'infraccions administratives a terceres persones no autoritzades.
L'accés per part d'una persona empleada de l'ICS, a la història clínica d'un pacient, sense el seu consentiment i sense que aquest accés estigui justificat per cap raó assistencial, suposa una vulneració del principi de confidencialitat de les dades. Tractament il·lícit de dades personals, ja que es van modificar a la història clínica les dades relatives al domicili de la persona denunciant, sense el seu consentiment ni cap raó que ho justifiqués.
L'accés a una història clínica sense raons assistencials o administratives que ho justifiquin suposa una vulneració del principi de confidencialitat. La no revisió de la informació recollida al registre d'accessos i la posterior manca d'un informe per part del responsable de seguretat, suposa una vulneració de mesures de seguretat.
L'accés per part d'una persona empleada d'un hospital, a la història clínica d'un pacient, sense el seu consentiment i sense que aquest accés estigui justificat per cap raó assistencial, suposa una vulneració del principi de confidencialitat de les dades