L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix l’accés de la persona reclamant a les dades que li són pròpies, així com a la documentació relativa a la valoració dels mèrits i documents justificatius de la resta d’aspirants que van obtenir millor puntuació o posició en els processos selectius, per tractar-se d’informació rellevant per al control del procés i per a la defensa dels seus interessos, sempre que no impliqui l’accés a dades especialment protegides.
Pel que fa a l’accés a les reclamacions o recursos interposats en els processos selectius, la normativa no impedeix facilitar aquells en els quals la persona reclamant fos part interessada. En altre cas, caldria analitzar cas per cas la informació personal que es veu afectada d’acord amb els termes que han estat exposats.
Prenent en consideració la informació aportada, no existeix en el cas examinat habilitació jurídica suficient que justifiqui el tractament de dades personals per a l’execució o exhibició de l’obra d’art, alhora que pot vulnerar el dret a la intimitat d’acord amb el que preveu la Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge.
Ara bé, la possibilitat d’enregistrar el so ambient sense que en cap cas es captin, difonguin o enregistrin converses de persones, o veus de persones identificables, no resulta contrària a la normativa de protecció de dades. Per aquest motiu, al fonament de dret VII d’aquest dictamen es proposen algunes mesures que es poden tenir en compte per no dur a terme el tractament de dades personals, i excloure l’aplicabilitat la normativa de protecció de dades.
En els termes exposats, la notificació a la persona col·legiada de la resolució d’arxiu d’una queixa deontològica presentada contra ella es considera lícita i conforme a la normativa de protecció de dades,
La normativa de protecció de dades no impediria comunicar la informació sol·licitada sempre que, a la vista de les circumstàncies concretes del cas plantejat, l’Ajuntament pugui determinar l’existència d’un interès legítim en la persona sol·licitant i que no existeixen motius significatius que puguin produir un perjudici al dret a la protecció de dades de la persona afectada.
A la vista de la normativa estudiada, i per la informació de què es disposa, des de la perspectiva de la normativa de protecció de dades no sembla que hi hagi suficient base jurídica (art. 6.1 RGPD) que permeti considerar necessària la inclusió generalitzada en els certificats d’empadronament d’informació relativa a l’existència o no del títol d’ocupació d’un habitatge o altra informació relacionada, ni sembla que aquesta pràctica generalitzada s’ajusti als principis de minimització i d’exactitud de dades personals (art. 5.1, apartats c) i d) RGPD). Això, sens perjudici que l’Ajuntament tingui base jurídica suficient per al tractament de la informació objecte de consulta, en els termes que preveu la normativa i als efectes de la verificació a què es refereix l’article 59.2 RPDTEL.
Es planteja una consulta sobre el dret d’accés d’un pacient al curs clínic.
En aquest cas, la negativa d’un facultatiu sanitari a emetre un informe que, en principi, li correspondria, no pot derivar en un perjudici al malalt. Per aquesta raó, si resulta suficientment justificat, aquest informe es podria emetre per un altre facultatiu, deixant constància del seu contingut a la història clínica i, de la mateixa manera, hauria de constar en termes de traçabilitat d’aquesta.
El pacient, com a titular de les dades personals que consten als seus informes mèdics d’assistència i afectat té dret a accedir a la informació del curs clínic, sempre que no sigui en perjudici del dret de tercers a la confidencialitat de les dades d'aquests que figuren en l'esmentada documentació, ni del dret dels professionals que han intervingut en l'elaboració d'aquesta, que poden invocar la reserva de llurs observacions, apreciacions o anotacions subjectives.
Una vegada informat de la possibilitat d’exercir el dret de limitació, el facultatiu no ès pot negar a que es lliuri el curs clínic al pacient.
Des del punt de vista de la normativa de protecció de dades, l’incompliment del dret d’accés del pacient a la seva documentació clínica, comporta una infracció administrativa per vulneració de la normativa de protecció de dades.
En aquest informe s’analitzen diverses qüestions relatives a l’aplicació de la normativa a l’accés a informació personal de persones que van ser ateses a les institucions referides (cases de maternitat). Això, en atenció als terminis de temps transcorreguts, el tipus d’informació i els drets afectats, tenint en compte la legislació d’arxius. També es recorda que el responsable de l’arxiu, tenint en compte el principi de responsabilitat proactiva, ha de comprovar, ja sigui a partir de documentació aportada pels propis sol·licitants, ja sigui per documentació o per altra informació complementària de què pugui disposar, que queda acreditada la data de la mort o, al menys, que es pot deduir de forma suficient que la informació sol·licitada ja no es refereix a una persona viva. En relació amb l’exercici del dret instrumental de l’article 3.1 LOPDGDD, si la vinculació de parentiu o de fet o la condició d’hereu, que es pugui considerar així en atenció a la normativa aplicable, s’acredita documentalment, aquestes persones haurien de tenir, en principi, accés a la informació.
La publicació controvertida només fa referència a l'actuació d’un grup municipal, però no conté cap dada personal ni cap referència que permeti identificar una persona física, malgrat que aquesta actuació l'hagués fet una persona física com a representant del grup municipal.
El denunciant es queixa que una tercera persona que no el coneixia de res va rebre un correu electrònic del seu gimnàs, que contenia un enllaç per mitjà del qual, sense posar cap contrasenya de seguretat, va poder accedir a una fitxa personal amb totes les seves dades. Es declara la vulneració del principi d'exactitud i de l'article 25 de l'RGPD.
En el marc d'una SAIP relativa a la denúncia del II Acord de la Mesa Sectorial de Negociació de Sanitat sobre les condicions de treball del personal estatutari, l'ICS va revelar a tres entitats sindicals la identitat (nom i cognoms) de la persona que va efectuar l'esmentada SAIP en nom propi, com a persona física, i que s'havia oposat expressament a aquesta comunicació. Es declara que s’ha comès la infracció prevista a l'article 83.5.a en relació amb l'article 5.1.c, ambdós de l'RGPD, per la vulneració del principi de minimització.