L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol declarar que l'Ajuntament de Vilanova i la Geltrú ha vulnerat el principi de confidencialitat, atès que va publicar la queixa presentada per una tercera persona a la carpeta ciutadana del denunciant. Aquest fet va permetre al denunciant accedir a dades d'un tercer.
La denunciant es queixava sobre els accessos a la seva història clínica, que consten en el registre d'accessos que l'ICS li havia entregat. La legislació sanitària preveu que els professionals que realitzen funcions administratives i de gestió sanitària puguin accedir, només, a les dades de la història clínica relacionades amb aquestes funcions. En aquest cas, a banda de les manifestacions de la denunciant, no hi ha prou indicis per determinar que els treballadors descrits accedissin a cap base de dades a la qual no poguessin accedir per raó de les seves funcions professionals. No obstant això, escau recordar a l'ICS que ha d'adoptar les mesures tècniques i organitzatives adequades per demostrar el motiu o la causa dels accessos a la història clínica dels pacients atesos en els centres de l'ICS, en cada cas concret. El principi de responsabilitat proactiva i demostrable exigeix que el responsable del tractament compleixi els principis de protecció de dades i integri les garanties necessàries del tractament.
La Policlínica Comarcal del Vendrell no va respondre en termini la sol·licitud d'accés a la història clínica del fill de la reclamant. L'entitat va respondre en rebre el trasllat de l’APDCAT i li va lliurar la història clínica sol·licitada. Resolució d'estimació parcial.
L'ICS va enviar a la persona denunciant avisos de cites mèdiques d'una tercera persona, perquè havia recollit erròniament la dada del telèfon mòbil. Es tracta d'un supòsit de concurs ideal d'infraccions, atès que, si bé l’ICS ha comès infraccions diferenciades, hi ha una connexió directa entre elles, pel fet que el tractament de dades inexactes en el sistema ECAP d'atenció primària i en el sistema SAP ARGOS d'atenció hospitalària ha comportat la vulneració del deure de confidencialitat que és objecte d'imputació.
La denunciant es queixa que el centre mèdic ha emès dos informes, en els quals hi consta un antecedent patològic que no es basa en cap evidència mèdica. L'entitat ha reconegut els fets i ha corregit els informes. Es prepara resolució definitiva per vulneració del principi d'exactitud.
Es requereix al DPD del SOC la supressió d'un missatge de correu electrònic enviat pel reclamant i reenviat per personal del SOC a 12 adreces corporatives, també del SOC. La resposta del SOC és en dues fases: al juliol se certifica la supressió del missatge en 9 bústies de correu, mentre que a les 3 restants es farà quan aquestes persones s'incorporin d'una baixa o vacances. Es resol que s’ha respost en termini; es té en compte la primera resposta, que per motius de força major no es va poder respondre completament (baixa o vacances dels titulars de les bústies de correu-e) i això va motivar una segona resposta.
La denunciant es queixa que han accedit a la seva història clínica sense el seu consentiment. Durant la fase d'informació prèvia, ha quedat constatat que els accessos denunciats es van realitzar per respondre a la sol·licitud de traçabilitat presentada per la denunciant. Per això, es dicta resolució d'arxivament.
Es declara que l'Institut Català de la Salut, ha comès una infracció tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD, atès que un metge va accedir indegudament a la història clínica del sistema públic amb finalitats d'assistència mèdica privada.
La denunciant es queixava de 60 accessos indeguts a les seves dades mèdiques efectuats des de centres diversos. Durant la fase d'investigació, l'entitat denunciada ha justificat els accessos, per la qual cosa no ha resultat acreditat l'existència d'infracció.
A priori, demanar a les persones usuàries que ensenyin el seu DNI per accedir a les instal·lacions de la piscina no seria un tractament de dades excessiu ni contrari al principi de minimització de dades personals, quan calgui verificar l'edat i el domicili i no es disposi del certificat d'empadronament o de la documentació necessària per acreditar-ho. S’arxiva la denúncia perquè, a banda de les manifestacions de la persona denunciant, no es disposa de cap altre element que permeti corroborar que l'Ajuntament o l'empresa concessionària recollissin aquestes dades