L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix l’accés de la persona reclamant a les dades que li són pròpies, així com a la documentació relativa a la valoració dels mèrits i documents justificatius de la resta d’aspirants que van obtenir millor puntuació o posició en els processos selectius, per tractar-se d’informació rellevant per al control del procés i per a la defensa dels seus interessos, sempre que no impliqui l’accés a dades especialment protegides.
Pel que fa a l’accés a les reclamacions o recursos interposats en els processos selectius, la normativa no impedeix facilitar aquells en els quals la persona reclamant fos part interessada. En altre cas, caldria analitzar cas per cas la informació personal que es veu afectada d’acord amb els termes que han estat exposats.
El reclamant va exercir el dret de supressió de les seves dades personals, en concret dels missatges electrònics i elements adjunts que havia enviat a una adreça electrònica del domini de l'entitat reclamada. L'entitat no ha justificat haver respost el reclamant, per la qual cosa s'estima la reclamació i es requereix l'entitat perquè faci efectiu el dret de supressió o bé indiqui al reclamant els motius pels quals li desestima, i després ho justifiqui davant l'Autoritat.
L'ajuntament va lliurar a les parts la mateixa informació. No es disposa de cap element que permeti acreditar que hagués facilitat a l'associació informació per vies diferents de les detallades en els informes que va entregar a les parts.
La publicació controvertida només fa referència a l'actuació d’un grup municipal, però no conté cap dada personal ni cap referència que permeti identificar una persona física, malgrat que aquesta actuació l'hagués fet una persona física com a representant del grup municipal.
L'Ajuntament ha comès dues infraccions: 1. Va suprimir 3 correus electrònics que formaven part de l'objecte del dret d'accés de la sol·licitant i va informar-la que no disposaven de més correus electrònics, quan no era així; 2. Va obstaculitzar les tasques inspectores de l'Autoritat, en no facilitar la informació sol·licitada.
En el marc d'una SAIP relativa a la denúncia del II Acord de la Mesa Sectorial de Negociació de Sanitat sobre les condicions de treball del personal estatutari, l'ICS va revelar a tres entitats sindicals la identitat (nom i cognoms) de la persona que va efectuar l'esmentada SAIP en nom propi, com a persona física, i que s'havia oposat expressament a aquesta comunicació. Es declara que s’ha comès la infracció prevista a l'article 83.5.a en relació amb l'article 5.1.c, ambdós de l'RGPD, per la vulneració del principi de minimització.
El denunciant es queixa que una tercera persona que no el coneixia de res va rebre un correu electrònic del seu gimnàs, que contenia un enllaç per mitjà del qual, sense posar cap contrasenya de seguretat, va poder accedir a una fitxa personal amb totes les seves dades. Es declara la vulneració del principi d'exactitud i de l'article 25 de l'RGPD.
L'ajuntament va notificar un decret d'alcaldia a un ciutadà, en el qual constaven el nom, cognoms i DNI d'una tercera persona. Cal destacar la diligència de l'ajuntament a l'hora d'executar eficaçment l'obligació de responsabilitat proactiva requerida per l’RGPD, en haver notificat sense dilacions indegudes la violació de seguretat a aquesta Autoritat i haver pres mesures per mitigar-ne els riscos. S'imputa una infracció per vulneració del principi de confidencialitat.
L'ajuntament ha comès dues infraccions: 1. No va informar dels ítems de l'article 13 de l'RGPD les persones que es prestaven a ser enregistrades pel videomaton instal·lat durant una fira municipal; 2. No tenia el consentiment dels afectats per difondre les imatges enregistrades pel videomaton, ni cap altra base jurídica que legitimés aquest tractament de dades.
Es resol que l'Ajuntament ha vulnerat el principi de licitud, atès que una treballadora de l'entitat va facilitar les seves claus personals d'accés a diferents aplicacions a una tercera treballadora, que es va incorporar a l'Ajuntament i que necessitava accedir als programes per exercir les seves funcions. Aquest tractament és il·lícit, atès que no hi havia cap base jurídica que legitimés que una treballadora fes ús de l'usuari i contrasenya d’una altra.