L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
En el marc d'una SAIP relativa a la denúncia del II Acord de la Mesa Sectorial de Negociació de Sanitat sobre les condicions de treball del personal estatutari, l'ICS va revelar a tres entitats sindicals la identitat (nom i cognoms) de la persona que va efectuar l'esmentada SAIP en nom propi, com a persona física, i que s'havia oposat expressament a aquesta comunicació. Es declara que s’ha comès la infracció prevista a l'article 83.5.a en relació amb l'article 5.1.c, ambdós de l'RGPD, per la vulneració del principi de minimització.
El denunciant es queixa que una tercera persona que no el coneixia de res va rebre un correu electrònic del seu gimnàs, que contenia un enllaç per mitjà del qual, sense posar cap contrasenya de seguretat, va poder accedir a una fitxa personal amb totes les seves dades. Es declara la vulneració del principi d'exactitud i de l'article 25 de l'RGPD.
L'Ajuntament ha comès dues infraccions: 1. Va suprimir 3 correus electrònics que formaven part de l'objecte del dret d'accés de la sol·licitant i va informar-la que no disposaven de més correus electrònics, quan no era així; 2. Va obstaculitzar les tasques inspectores de l'Autoritat, en no facilitar la informació sol·licitada.
L'ajuntament va lliurar a les parts la mateixa informació. No es disposa de cap element que permeti acreditar que hagués facilitat a l'associació informació per vies diferents de les detallades en els informes que va entregar a les parts.
Resum: La persona denunciant era agent de la Policia Local (PL) i es queixava de l'actuació del cap i altres membres de la PL per haver difós que se li havia retirat l'arma reglamentària, a causa d'unes diligències policials de la PG-ME. La difusió es va fer mitjançant correus electrònics i altres canals de comunicació interns.
Es declara que l'ajuntament ha comès una infracció greu per no haver adoptat mesures de seguretat (art. 83.4.a, en relació amb l’art. 25, tots dos de l'RGPD), pel fet d'haver creat un repositori electrònic en el qual emmagatzemava tots els informes policials que emetia, sense establir-hi cap restricció en l'accés.
D'altra banda, en l'acord d'iniciació es van arxivar la resta de fets denunciats referits a la difusió d'aquesta informació, per diversos motius: 1) D'acord amb l'LO 7/2021, la difusió era necessària per fer efectiva la mesura cautelar de retirada de l'arma i la va efectuar una autoritat competent en l'exercici de les seves funcions, o bé era necessària per adoptar i/o mantenir les mesures de seguretat adoptades posteriorment, per evitar el risc d'atemptar contra la integritat física d'una persona; 2) D'acord amb l'RGPD, era necessari per complir les funcions de responsabilitat de la persona destinatària, o bé per organitzar el servei correctament.
Estimació parcial de la reclamació. Pel que fa a la forma, es desestima la reclamació atès que l'entitat reclamada va respondre en termini la sol·licitud de la reclamant. Pel que fa al fons, s'estima parcialment la reclamació atès que l'entitat reclamada no ha fet efectiu el dret de rectificació exercit. L'entitat reclamada ha d'incorporar a la història clínica de la reclamant els informes sobre el diagnòstic actual. La incorporació d'aquests informes, en cap cas suposen o impliquen una anotació aclaridora dels anteriors, ni afecten els diagnòstics mèdics prèviament emesos.
Es resol fer una advertència al GM Vox de l'Ajuntament de Barcelona per l'enviament d'un correu electrònic als empleats municipals, per desitjar-los bones festes. Si bé el correu corporatiu (dada personal) es va emprar amb una finalitat diferent de la prevista, aquesta actuació no té prou entitat per justificar la incoació d'un procediment sancionador, atès el següent: les adreces electròniques eren corporatives (i no personals); estaven publicades a la intranet de l'entitat; i el missatge enviat tenia certa naturalesa de convenció social.
Es resol que l'Ajuntament ha vulnerat el principi de licitud, atès que una treballadora de l'entitat va facilitar les seves claus personals d'accés a diferents aplicacions a una tercera treballadora, que es va incorporar a l'Ajuntament i que necessitava accedir als programes per exercir les seves funcions. Aquest tractament és il·lícit, atès que no hi havia cap base jurídica que legitimés que una treballadora fes ús de l'usuari i contrasenya d’una altra.
La persona reclamant es queixa que la Direcció General de la Policia del Departament d'Interior de la Generalitat de Catalunya (DGP) no ha atès la seva petició d'accés a dades d'antecedents policials. S'estima parcialment la reclamació, atès que la DGP no va respondre en termini la sol·licitud. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat fer efectiu el dret d'accés.
L'ajuntament ha comès dues infraccions: 1. No va informar dels ítems de l'article 13 de l'RGPD les persones que es prestaven a ser enregistrades pel videomaton instal·lat durant una fira municipal; 2. No tenia el consentiment dels afectats per difondre les imatges enregistrades pel videomaton, ni cap altra base jurídica que legitimés aquest tractament de dades.