L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
L'entitat va compartir en una unitat de xarxa, a la qual tenen accés els treballadors d'un servei concret, la informació sobre una treballadora i dos estudiants en pràctiques, sense implementar les mesures tècniques i organitzatives adequades per evitar, des del disseny i per defecte, l'accés indiscriminat a les dades d’aquestes persones. Aquest fet va permetre que la persona denunciant, treballadora de l'entitat, accedís a aquesta informació sense cap restricció. En aquest cas, s'aprecia un concurs ideal d'infraccions, motiu pel qual només escau declarar la comissió de la infracció més greu de les comeses; és a dir, la relativa a la vulneració del principi de confidencialitat, qualificada com a infracció molt greu.
En el cas examinat, a la vista del marc normatiu d’aplicació i la informació disponible, podria concloure’s que la societat municipal actuaria, en relació amb els tractaments de dades necessàries per dur a terme les actuacions vinculades a programes per afavorir la inserció sociolaboral de determinats col·lectius per encàrrec de l’Ajuntament, com a subencarregada del tractament.
Per altra banda, seria necessari el consentiment de les persones que sol·liciten participar en els dits programes, així com de les persones que sol·liciten a la societat municipal, com a agència de col·locació, els serveis de col·locació i intermediació laboral, per a tractar les seves dades personals.
Principi de presumpció d'innocència. S'arxiven les actuacions, ja que durant la fase d'investigació no ha aparegut cap element de prova que permeti atribuir de manera incontrovertible a la Divisió d'Afers Interns (DAI) dels Mossos d'Esquadra la filtració de les dades publicades pel diari digital El Nacional, sobre un agent del CME ni, en conseqüència, acreditar que l’entitat denunciada ha comès una infracció.
S'acorda declarar que l'entitat ha comès una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.a, ambdós de l'RGPD, per la infracció del principi de licitud, amb motiu de la publicació en el tauler d'anuncis de la sala del professorat dels llistats d'absències del personal docent.
La persona reclamant es queixava que la DGP no havia respost la seva petició de supressió de les dades relatives a unes diligències concretes. S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.
El denunciant es queixa que l'Ajuntament ha publicat una resolució a internet que conté les seves dades personals: nom, cognoms i matrícula del seu vehicle, així com el contingut d'una reclamació patrimonial que va presentar. Es comprova i es constata que la resolució denunciada és a internet i es dicta resolució per vulneració del principi de confidencialitat.
S'acorda arxivar la queixa sobre una possible filtració de dades relatives als resultats de les proves de final d'etapa de 20 escoles. Es considera que el fet que una empresa privada hagi publicat al seu web l’anunci que ha fet un estudi en base el resultats d'aquestes proves no és indici suficient per acreditar els fets, que el Departament d'Educació nega i que ha acreditat que ha investigat. El Departament d'Educació també ha indicat que l'estudi de l'empresa pot haver partit de les dades sobre aquest tema que consten publicades en el portal de dades obertes, que són dades agregades i anonimitzades; per tant, no són dades personals. Presumpció d’innocència.
El denunciant es queixa que l'institut en què treballa ha filtrat informació confidencial sobre un conflicte que va tenir amb un alumne. Aporta diverses notícies dels mitjans de comunicació en què consten dades personals seves. Es dicta resolució d'arxivament, atès que no s'ha pogut acreditar que el responsable de la filtració sigui l'institut.
El reclamant es queixa que no li han facilitat unes notes i dades. Es desestima la reclamació, perquè la petició es va respondre dins del termini legal i se li va facilitar tota la informació que demanava, malgrat que no formés part de la història clínica.
Aquesta Autoritat manté el criteri del dictamen CNS 63/2018 relatiu a que el responsable del tractament ha de verificar a través d’una avaluació d’impacte de protecció de dades que el tractament de dades biomètriques amb la finalitat de control de presència o de jornada laboral, entre altres qüestions que cal analitzar, compleix amb el principi de licitud (art. 6 de l’RGPD i art. 9 de l’RGPD) i supera el judici de necessitat i proporcionalitat en els termes que s’han exposat.
D’altra banda, l’avaluació d’impacte comporta l’anàlisi de les obligacions i els principis del tractament que estableix la normativa de protecció de dades, en el cas en concret, sense que el seu resultat es pugui plantejar en termes teòrics o generals