L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'estima la reclamació perquè la resposta de l'ICS va ser extemporània i no ajustada a la normativa reguladora del dret d'accés. Així mateix, es precisa que el dret d'accés de la LOPD inclou la informació relativa a les comunicacions efectuades o previstes, però no la informació relativa a la identificació dels usuaris que han accedit a la història clínica. Això, sense perjudici que sigui recomanable facilitar tal informació.
L’ICS, en la seva condició d’encarregat del tractament del fitxer “Registre d’Informació sanitària dels Pacients”, del qual és titular el Departament de Salut i en el que s’inclouen les dades clinicoassistencials dels pacients (HC3) no va adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades personals. En concret no tenia establert un mecanisme que permetés la identificació de manera inequívoca i personalitzada de tots els usuaris que accedien a l’esmentat fitxer, atès que havia permés la utilització d'un codi d'usuari genèric que podien utilitzar persones distintes, actuació que suposa una vulneració del principi de seguretat de les dades.
Articles aplicats: 9 i 44.3.h) LOPD; 93 RLOPD.
El tractament de dades inexactes -d'alumnes o dels seus progenitors- en el procés de preinscripció suposa una vulneració del principi de qualitat de les dades, en la seva vessant d'exactitud.
Articles aplicats: 4.3 i 44.3.c) de la LOPD.
El tractament de dades inexactes -d'alumnes o dels seus progenitors- en el procés de preinscripció suposa una vulneració del principi de qualitat de les dades, en la seva vessant d'exactitud. El tractament de les dades d'alumnes i dels seus progenitors en el procés de preinscripció, sense comptar amb el seu consentiment, suposa una vulneració del principi del consentiment. Concurs medial d'infraccions.
Articles aplicats: 4.3, 6, 44.3.b), 43.3.c), 45 i 46 LOPD; 29 Llei 40/2015.
La cessió de dades especialment protegides (salut) d'una menor, per part d'un Institut a la Junta de l'Associació Esportiva vinculada al centre, suposa una infracció de caràcter molt greu. Cal evidenciar que ambdues entitats (Institut i Associació Esportiva) tenen personalitat jurídica pròpia i que el director de l'Institut ho és també de l'Associació esportiva, de manera que determinada informació que el director de l'Institut tenia en la seva condició de director la va cedir als membres de la Junta de l'Associació.
Articles aplicats: 7.3 i 44.4.b) LOPD, 5.1.o) RLOPD.
Es considera il·lícita la difusió de dades de salut i d'altres relatives a un acomiadament contingudes en actes del Ple a la seu electrònica/portal de transparència d'un Ajuntament, quan existia un acord previ entre l'Ajuntament i la persona afectada de no revelar aquestes dades.
Articles aplicats: 7.3, 44.4b) LOPD, Llei 29/2010, Llei 19/2014.
Per contestar una al·legació d'una Associació que havia estat formulada durant la fase d'informació prèvia de dos projectes de delimitació i reparcel·lació, es considera excessiu revelar dades de la vida privada d'un tercer aliè als esmentats procediments, encara que aquestes dades hagin estat aportades per una altra persona interessada en aquests procediments.
Articles aplicats: 4.1 LOPD.
L'accés a la història clínica per part de personal sanitari -sotmès al deure de secret- està legitimitat sempre que aquest accés sigui necessari per a la prestació d'assistència sanitària o la gestió de serveis. En aquest cas, el personal que hi havia accedit, estava autoritzat i l'accés es va produir només per donar compliment a les seves funcions.
Articles aplicats: 7, 10 LOPD, 91 RLOPD i Llei 21/2000.
Es considera que l'accés al contingut d'un escrit per parts dels òrgans competents en matèria de riscos laborals de l'entitat denunciada estaria justficat per raó de les seves funcions i atès el contingut de l'escrit en què es denunciava una situació que una persona treballadora patia com a conseqüència de l'activitat laboral desenvolupada en aquesta entitat.
Articles aplicats: 10 LOPD , 91 RLOPD i LPRL.
Les persones interessades en un procediment tenen dret a conèixer la identitat de l'empleat públic que tramita l'expedient, sense que els eventuals mals usos que es puguin fer en xarxes socials d'aquestes dades identificatives dels empleats puguin ser motiu suficient per impedir a la persona interessada el seu coneixement.
Articles aplicats: Art. 53.1.b) i 39.c) Llei 39/2015, 24.1 Llei 19/2014, 6.2. LOPD.