L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.
L'Ajuntament va lliurar còpia d'un expedient a un interessat, en el qual per error s'adjuntaven dues nòmines d'una tercera persona. S'imputa una infracció de l'article 83.5.a de l'RGPD, per vulneració del principi establert a l'article 5.1.f del mateix RGPD.
Diverses persones denunciants es queixen que van rebre un missatge electrònic a través de l'aplicació TokApp, sense que haguessin consentit que l'entitat denunciada cedís les seves dades a l'empresa titular de l'aplicació. S'arxiven les actuacions prèvies IP 424/2023, IP 425/2023, IP 409/2024, IP 410/2024 i IP 411/2024 perquè no es considera una comunicació de dades, ja que es tracta d'una relació contractual entre el responsable i l'encarregat del tractament.
La denunciant es queixava que en la resolució dictada en el context de la revocació d'una mesura de protecció d'acolliment simple d'un menor s'hi ha inclòs informació innecessària per a la seva finalitat. La resolució es va notificar íntegrament als progenitors del menor i aquests van conèixer la informació controvertida, de caràcter psicosocial, referida a la denunciant. Es declara que s'ha vulnerat el principi de minimització de dades (art. 83.5.a RGPD).
Vulneració del principi de confidencialitat per part de l'ajuntament, per revelar a una entitat una queixa contra ella juntament amb la identificació de la persona que la va interposar.
Es resol declarar que, amb anterioritat al 05/03/2023, l'HCB no havia implementat les mesures de seguretat -tècniques i organitzatives- adequades per garantir un nivell de seguretat adequat al risc dels tractaments de dades personals que duia a terme. Tampoc havia realitzat una anàlisi de riscos per definir les mesures de seguretat requerides, tal com exigeixen els apartats 1r i 2n de l'article 32 RGPD. La plataforma informàtica que va ser objecte de ciberatac emmagatzemava informació de l'HCB i també d'altres entitats vinculades (Barnaclínic SA, CAPSBE i la FRCB-IDIBAPS); per tant, el volum i sensibilitat de la informació exigien una especial diligència en la seva custòdia i seguretat.
Estimació parcial de la reclamació. Escau estimar la reclamació pel que fa a la forma, atès que l'entitat no va respondre en termini la sol·licitud del reclamant. Escau desestimar la reclamació pel que fa al fons, atès que l'entitat reclamada va fer efectiu el dret d'accés exercit pel reclamant, en la mesura que li va entregar la informació sobre la seva persona, que no estava afectada per cap causa legal de denegació.
Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.