L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix lliurar informació sobre l’organigrama dels empleats de la Corporació de l’any 2018, de la plantilla i de la relació de llocs de treball. També es pot lliurar còpia dels expedients de modificació de l’RLT, si bé en aquest cas caldria excloure’n les dades que permetin identificar terceres persones diferents a les que hagin intervingut en la seva aprovació per raó del seu càrrec. Pel que fa als expedients de nomenaments de les persones que ocupen els diferents llocs de l’Ajuntament, la protecció de dades personals no impedeix donar-hi accés. En qualsevol cas, abans de donar accés a dades de caràcter personal cal haver efectuat el tràmit d’audiència previst a l’LTC i que no en resulti cap motiu que pugui justificar la denegació de l’accés.
Atès que l’opció 1 i 2, no permet que l’afectat visualitzi i signi un document únic, en format electrònic, que inclogui les seves dades i la informació que ha de rebre sobre el tractament d’aquestes (art. 13 RGPD), des de la perspectiva de la protecció de dades personals no es pot considerar que aquesta opció permeti acreditar de manera adequada el compliment del deure d’informar als afectats, sens perjudici que altres sistemes (opció 3) puguin permetre aquesta acreditació del compliment del deure d’informar. La clàusula informativa objecte de consulta es pot considerar adequada a les exigències de l’RGPD, si es tenen en compte les consideracions fetes en aquest dictamen.
Els destinataris i les funcions públiques atribuïdes a les Cambres de Comerç poden justificar la no obligatorietat de designació d’un delegat de protecció de dades a l’empara de la lletra a) de l’article 37.1 de l’RGPD, tot i que a criteri d’aquesta Autoritat resulta recomanable la seva designació. Això sens perjudici de la seva obligatorietat en el cas que concorri algun dels supòsits previstos a les lletres b) o c) del mateix article 37.1.
L’article 23 de l’LTC impedeix l’accés a la informació sobre les inspeccions realitzades on s’hagin detectat incompliments que suposen la comissió d’infraccions en matèria de seguretat industrial, així com als expedients sancionadors oberts arran d’aquestes inspeccions que permeti identificar directament o indirecta la persona física titular de l’empresa. Aquest accés només pot fer-se de manera anonimitzada, tret que concorri l’habilitació legal prevista en l’article 8.8 de la Llei 19/2014, de 31 de juliol.
Els centres educatius que imparteixen ensenyaments artístics seran, per la informació de què es disposa, responsables del tractament de les dades personals relatives a la realització de les proves específiques d’accés a aquests ensenyaments, i això amb independència de llur titularitat, pública o privada.
El marc normatiu estudiat no habilita la comunicació de dades de salut d’un pacient a l’autoritat de Trànsit per part dels metges que participen en l’atenció mèdica al pacient, atès que el manteniment del secret professional és un deure inherent a l’exercici de la professió mèdica, que no es pot exceptuar en el cas que ens ocupa i en els termes que planteja la consulta. Això amb independència que en la comunicació es concreti o no la patologia que motiva la comunicació.
El personal adscrit als centres penitenciaris s'ha d'identificar a través de la targeta d'identitat professional d'acord amb el que disposa la normativa sectorial. L'ús del DNI per identificar a aquestes persones usuàries en els sistemes d'informació (l'autenticació és a través de contrasenya); així com que en el sistema operatiu es mostri el nom i cognoms de la persona usuària, es considera que és un tractament inadequat, no pertinent i excessiu de dades personals.
En atenció a la previsió de l’article 22.3 de l’LOPD, l’ens pot comunicar dades de salut contingudes en la història clínica d’un pacient, o altres dades especialment protegides, sense consentiment exprés d’aquest, a les FFCCS, en el cas que aquestes actuïn exercint funcions de policia judicial, en els supòsits en què sigui absolutament necessari per a les finalitats d’una investigació concreta. La normativa habilitaria la cessió de dades que no siguin dades especialment protegides a les FFCCS (per exemple, dades identificatives, o determinades imatges de persones físiques), sense necessitat de vincular aquesta cessió a una investigació concreta, quan sigui necessari per a la prevenció d’un perill real per a la seguretat pública o per a la repressió d’infraccions penals (art. 22.2 LOPD).
No resulta adequada la publicació de la metadada consistent en el núm. de DNI de les persones que han sol·licitat llicències urbanístiques, amb motiu de la publicació de l’inventari de documents. No obstant això, l’ordenament vigent habilita la publicació de les llicències urbanístiques atorgades, incloent el nom i cognoms de les persones que l’han sol·licitat, sense incloure altres dades identificatives innecessàries com ara el núm. de DNI.