L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'estima la reclamació per raons formals, ja que el Departament de Salut no ha contestat la sol·licitud d'oposició formulada per la persona reclamant, i també s'estima quant al fons, ja que la reclamant ha esgrimit que la publicació de les seves dades a la història clínica compartida a Catalunya (HC3) li genera perjudicis, i respecte de tal petició el Departament ha guardat silenci, també davant l'Autoritat.
S'arxiven les actuacions d'informació prèvia, ja que els accessos a la història clínica compartida efectuats des de centres diferents a l'emissor dels informes mèdics tenien per finalitat la despublicació dels mateixos, en compliment de la resolució estimatòria de la sol·licitud d'oposició formulada per la persona denunciant, la qual cosa constitueix un motiu lícit, d'acord amb l'art. 6 LOPD, en relació amb l'art. 35 RLOPD.
No ha quedat provat que la persona qui va difondre les dades relatives a la persona denunciant obtingué la informació de l'Ajuntament, ja que d'altres entitats també en disposaven de la mateixa informació.
S'estima la reclamació, i es reconeix el dret de la persona reclamant a que es despubliqui un informe mèdic que figura incorporat a la seva història clínica compartida. Tot i que el CatSalut havia estimat la seva sol·licitud, no l'ha executat completament ja que dels 4 informes controvertits, n'hi ha un que no s'ha despublicat. Els motius que esgrimeix el CatSalut per justificar la no despublicació dels informes mèdics controvertits, no sembla que justifiquin la demora, atès l'estat de la tecnologia i els coneixements informàtics actual.
El dret a la protecció de dades no impedeix lliurar a la persona reclamant la informació sobre l’assignació de complements de productivitat i gratificacions a la interventora municipal, o a d’altres places o llocs de treball del consistori en els quals pugui concórrer el caràcter de confiança o especial responsabilitat.
La inclusió de les dades biomètriques, entre elles les de l’empremta dactilar, entre les categories especials de dades previstes per l’RGPD no permet concloure de manera automàtica que la implantació d’un sistema de control horari basat en la recollida d’aquest tipus de dades pugui considerar-se proporcionat i, per tant, conforme amb el principi de minimització. Cal fer una avaluació de l’impacte sobre la protecció de dades a la vista de les circumstàncies concretes en què es dugui a terme el tractament per determinar-ne la legitimitat i la proporcionalitat, inclosa l’anàlisi de l’existència d’alternatives menys intrusives, i establir les garanties adequades.
La normativa de protecció de dades no impedeix l’accés del reclamant a les factures prèvia dissociació de les mateixes, com demana la persona sol·licitant, sempre que es garanteixi que les persones afectades no poden ser identificables de manera directa o indirecta sense esforços desproporcionats. Més enllà d’això, atesa la informació de què es disposa, des de la perspectiva de la protecció de dades (principi de minimització) no sembla justificat, en el supòsit plantejat, l’accés amb caràcter general a les dades personals de terceres persones físiques diferents dels regidors o de persones treballadores al servei de la corporació, que apareguin a les factures, als efectes de controlar la destinació dels fons que reben els grups polítics.
No resultaria justificat, en atenció a la naturalesa de la informació que hi pot constar, un accés generalitzat als expedients dels serveis socials municipals sobre desnonaments per tots els regidors, per la qual cosa caldria emprar tècniques d’anonimització o seudonimització de les dades. Ara bé, si la sol·licitud l’efectuessin regidors amb responsabilitats de gestió en aquest àmbit d’actuació municipal, es podria admetre tant l’accés com el tractament de les dades obtingudes amb la finalitat de contactar-hi per oferir-los ajuda.
La normativa aplicable permet comunicar la identitat (nom i cognoms) de la persona denunciant d’infraccions de trànsit a la persona denunciada, sens perjudici de la possibilitat que la persona denunciant exerceixi el dret d’oposició. Des de la perspectiva del principi de minimització, no sembla que amb caràcter general la persona denunciada hagi de tenir coneixement d’altres dades personals de la persona denunciant més enllà de conèixer la identitat (nom i cognoms), en concret, el domicili i la professió de la persona denunciant.
En atenció als articles 54, i 55.1 i 3 de l’LTC, no resulta justificada la publicació de la informació sobre els alts càrrecs que s’han adherit al Codi Ètic i de Conducta de l’entitat i els que no ho han fet. L’article 11. 1. b) de l’LTC habilitaria la publicació de la informació relacionada amb els bens (valors, bons, actius financers, etc.) titularitat dels alts càrrecs, així com la informació sobre les activitats professionals que realitzen.