L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona reclamant es queixa que la Direcció General de la Policia del Departament d'Interior de la Generalitat de Catalunya (DGP) no ha atès la seva petició d'accés a dades d'antecedents policials. S'estima parcialment la reclamació presentada, atès que la DGP no va respondre en termini la sol·licitud. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat fer efectiu el dret d'accés.
Un cop finalitzada la relació laboral amb la docent, el centre va accedir al seu correu corporatiu per recuperar informació relacionada amb el centre. L'institut no disposa d'un procediment concret per accedir als comptes corporatius de persones extreballadores, amb totes les garanties. Per contra, res impedia accedir a la informació en presència de la treballadora, abans del seu cessament. S'imputa infracció greu de l'article 73.d i f de l'LOPDGDD, per manca de mesures tècniques i organitzatives apropiades per aplicar els principis de protecció de dades des del disseny i per garantir un nivell de seguretat adequat.
L'ajuntament denuncia que un regidor de la corporació havia facilitat a una associació una còpia d'un expedient de licitació, que contenia dades personals, i que l'associació l'havia publicat a la seva pàgina web sense anonimitzar. Pel que fa a la publicació per part de l'associació, es trasllada a l'AEPD. En relació amb la filtració de l'expedient per part d'un regidor o persona vinculada amb l'ajuntament, es dicta resolució d'arxivament, per falta d'acreditació de la responsabilitat.
El Departament de Salut (DGORS) va trametre a la residència L'Oreneta, SL, de Castelldefels, i a l'Ajuntament de la mateixa localitat una còpia íntegra de l'escrit de queixa que la persona denunciant havia presentat contra aquesta residència. A l’escrit, hi constaven el número de DNI, el domicili postal i el número de telèfon mòbil de la denunciant, dades que es consideren excessives. Per contra, no es considera constitutiu d'infracció la revelació de la identitat de la persona denunciant (noms i cognoms) a l'entitat denunciada.
S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.
La normativa de protecció de dades no impedeix l’accés al nom i cognoms de la persona encarregada de l’explotació de l’estació depuradora d’aigües residuals del municipi a què fa referència la reclamació.
L’Ajuntament compta amb legitimació suficient per dur a terme un control sobre l’ús del compte de correu electrònic corporatiu personalitzat que posa a disposició de les persones treballadores, siguin laborals o funcionaris, per a la necessitat de coordinar i garantir la continuïtat de l’activitat municipal en els supòsits de cessament de la relació laboral com en cas d’absència temporal de les persones treballadores, sempre que els hagi informat adequadament sobre les mesures que s’adoptaran al respecte. En relació amb les mesures proposades ens remetem a les consideracions fetes al llarg del dictamen.
La normativa de protecció de dades habilitaria la comunicació de l’expedient administratiu a les persones interessades en el procediment administratiu sobre la base de l’article 6.1.c) i e) de l’RGPD en relació amb la normativa del procediment administratiu. En el cas que entre la informació que consti a l’expedient estiguin afectades dades de salut, la comunicació pot estar habilitada sobre la circumstància de l’article 9.1.f) de l’RGPD, si la informació és necessària per formular, exercir o defensar reclamacions. En qualsevol cas, la informació que es comuniqui s’ha de limitar al mínim necessari per a la defensa dels drets o interessos legítims de les persones interessades.
Correspon al responsable del tractament aplicar les mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc del tractament, incloent-hi en el cas que ens ocupa les mesures que corresponguin de les que preveu l’Esquema Nacional de Seguretat, com ara, la pseudonimització o xifratge de les dades personals.