L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Estimació parcial de la reclamació. Pel que fa a la forma, es desestima la reclamació atès que l'entitat reclamada va respondre en termini la sol·licitud de la reclamant. Pel que fa al fons, s'estima parcialment la reclamació atès que l'entitat reclamada no ha fet efectiu el dret de rectificació exercit. L'entitat reclamada ha d'incorporar a la història clínica de la reclamant els informes sobre el diagnòstic actual. La incorporació d'aquests informes, en cap cas suposen o impliquen una anotació aclaridora dels anteriors, ni afecten els diagnòstics mèdics prèviament emesos.
Es resol fer una advertència al GM Vox de l'Ajuntament de Barcelona per l'enviament d'un correu electrònic als empleats municipals, per desitjar-los bones festes. Si bé el correu corporatiu (dada personal) es va emprar amb una finalitat diferent de la prevista, aquesta actuació no té prou entitat per justificar la incoació d'un procediment sancionador, atès el següent: les adreces electròniques eren corporatives (i no personals); estaven publicades a la intranet de l'entitat; i el missatge enviat tenia certa naturalesa de convenció social.
L'ajuntament ha comès dues infraccions: 1. No va informar dels ítems de l'article 13 de l'RGPD les persones que es prestaven a ser enregistrades pel videomaton instal·lat durant una fira municipal; 2. No tenia el consentiment dels afectats per difondre les imatges enregistrades pel videomaton, ni cap altra base jurídica que legitimés aquest tractament de dades.
Resum: La persona denunciant era agent de la Policia Local (PL) i es queixava de l'actuació del cap i altres membres de la PL per haver difós que se li havia retirat l'arma reglamentària, a causa d'unes diligències policials de la PG-ME. La difusió es va fer mitjançant correus electrònics i altres canals de comunicació interns.
Es declara que l'ajuntament ha comès una infracció greu per no haver adoptat mesures de seguretat (art. 83.4.a, en relació amb l’art. 25, tots dos de l'RGPD), pel fet d'haver creat un repositori electrònic en el qual emmagatzemava tots els informes policials que emetia, sense establir-hi cap restricció en l'accés.
D'altra banda, en l'acord d'iniciació es van arxivar la resta de fets denunciats referits a la difusió d'aquesta informació, per diversos motius: 1) D'acord amb l'LO 7/2021, la difusió era necessària per fer efectiva la mesura cautelar de retirada de l'arma i la va efectuar una autoritat competent en l'exercici de les seves funcions, o bé era necessària per adoptar i/o mantenir les mesures de seguretat adoptades posteriorment, per evitar el risc d'atemptar contra la integritat física d'una persona; 2) D'acord amb l'RGPD, era necessari per complir les funcions de responsabilitat de la persona destinatària, o bé per organitzar el servei correctament.
La denunciant es queixava que en la resolució dictada en el context de la revocació d'una mesura de protecció d'acolliment simple d'un menor s'hi ha inclòs informació innecessària per a la seva finalitat. La resolució es va notificar íntegrament als progenitors del menor i aquests van conèixer la informació controvertida, de caràcter psicosocial, referida a la denunciant. Es declara que s'ha vulnerat el principi de minimització de dades (art. 83.5.a RGPD).
La persona reclamant es queixava de la manca d'atenció del Departament de Justícia, en relació amb la seva petició de supressió de les dades relatives al seu segon ingrés en un centre penitenciari. El Departament va estimar la seva sol·licitud mitjançant la limitació del tractament de les seves dades, atès que amb caràcter general s'han de conservar per un període màxim de 20 anys. S'estima parcialment la reclamació, atès que el Departament de Justícia no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que el departament ha estimat la sol·licitud de supressió mitjançant la limitació de les dades. Es requereix el Departament perquè en el termini de 10 dies, comptadors a partir de l'endemà de la notificació del seu escrit, acrediti que ha notificat o intentat notificar per segona vegada el seu escrit de resposta a la persona reclamant.
Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.
Estimació parcial de la reclamació. Escau estimar la reclamació pel que fa a la forma, atès que l'entitat no va respondre en termini la sol·licitud del reclamant. Escau desestimar la reclamació pel que fa al fons, atès que l'entitat reclamada va fer efectiu el dret d'accés exercit pel reclamant, en la mesura que li va entregar la informació sobre la seva persona, que no estava afectada per cap causa legal de denegació.
Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.