L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El reclamant va exercir el dret de supressió de les seves dades personals, en concret dels missatges electrònics i elements adjunts que havia enviat a una adreça electrònica del domini de l'entitat reclamada. L'entitat no ha justificat haver respost el reclamant, per la qual cosa s'estima la reclamació i es requereix l'entitat perquè faci efectiu el dret de supressió o bé indiqui al reclamant els motius pels quals li desestima, i després ho justifiqui davant l'Autoritat.
L'ajuntament va notificar un decret d'alcaldia a un ciutadà, en el qual constaven el nom, cognoms i DNI d'una tercera persona. Cal destacar la diligència de l'ajuntament a l'hora d'executar eficaçment l'obligació de responsabilitat proactiva requerida per l’RGPD, en haver notificat sense dilacions indegudes la violació de seguretat a aquesta Autoritat i haver pres mesures per mitigar-ne els riscos. S'imputa una infracció per vulneració del principi de confidencialitat.
L'ajuntament va lliurar a les parts la mateixa informació. No es disposa de cap element que permeti acreditar que hagués facilitat a l'associació informació per vies diferents de les detallades en els informes que va entregar a les parts.
L'Ajuntament ha comès dues infraccions: 1. Va suprimir 3 correus electrònics que formaven part de l'objecte del dret d'accés de la sol·licitant i va informar-la que no disposaven de més correus electrònics, quan no era així; 2. Va obstaculitzar les tasques inspectores de l'Autoritat, en no facilitar la informació sol·licitada.
Es resol fer una advertència al GM Vox de l'Ajuntament de Barcelona per l'enviament d'un correu electrònic als empleats municipals, per desitjar-los bones festes. Si bé el correu corporatiu (dada personal) es va emprar amb una finalitat diferent de la prevista, aquesta actuació no té prou entitat per justificar la incoació d'un procediment sancionador, atès el següent: les adreces electròniques eren corporatives (i no personals); estaven publicades a la intranet de l'entitat; i el missatge enviat tenia certa naturalesa de convenció social.
Resum: La persona denunciant era agent de la Policia Local (PL) i es queixava de l'actuació del cap i altres membres de la PL per haver difós que se li havia retirat l'arma reglamentària, a causa d'unes diligències policials de la PG-ME. La difusió es va fer mitjançant correus electrònics i altres canals de comunicació interns.
Es declara que l'ajuntament ha comès una infracció greu per no haver adoptat mesures de seguretat (art. 83.4.a, en relació amb l’art. 25, tots dos de l'RGPD), pel fet d'haver creat un repositori electrònic en el qual emmagatzemava tots els informes policials que emetia, sense establir-hi cap restricció en l'accés.
D'altra banda, en l'acord d'iniciació es van arxivar la resta de fets denunciats referits a la difusió d'aquesta informació, per diversos motius: 1) D'acord amb l'LO 7/2021, la difusió era necessària per fer efectiva la mesura cautelar de retirada de l'arma i la va efectuar una autoritat competent en l'exercici de les seves funcions, o bé era necessària per adoptar i/o mantenir les mesures de seguretat adoptades posteriorment, per evitar el risc d'atemptar contra la integritat física d'una persona; 2) D'acord amb l'RGPD, era necessari per complir les funcions de responsabilitat de la persona destinatària, o bé per organitzar el servei correctament.
La persona reclamant es queixa que la Direcció General de la Policia del Departament d'Interior de la Generalitat de Catalunya (DGP) no ha atès la seva petició d'accés a dades d'antecedents policials. S'estima parcialment la reclamació, atès que la DGP no va respondre en termini la sol·licitud. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat fer efectiu el dret d'accés.
L'ajuntament ha comès dues infraccions: 1. No va informar dels ítems de l'article 13 de l'RGPD les persones que es prestaven a ser enregistrades pel videomaton instal·lat durant una fira municipal; 2. No tenia el consentiment dels afectats per difondre les imatges enregistrades pel videomaton, ni cap altra base jurídica que legitimés aquest tractament de dades.
Estimació parcial de la reclamació. Pel que fa a la forma, es desestima la reclamació atès que l'entitat reclamada va respondre en termini la sol·licitud de la reclamant. Pel que fa al fons, s'estima parcialment la reclamació atès que l'entitat reclamada no ha fet efectiu el dret de rectificació exercit. L'entitat reclamada ha d'incorporar a la història clínica de la reclamant els informes sobre el diagnòstic actual. La incorporació d'aquests informes, en cap cas suposen o impliquen una anotació aclaridora dels anteriors, ni afecten els diagnòstics mèdics prèviament emesos.
Es resol que l'Ajuntament ha vulnerat el principi de licitud, atès que una treballadora de l'entitat va facilitar les seves claus personals d'accés a diferents aplicacions a una tercera treballadora, que es va incorporar a l'Ajuntament i que necessitava accedir als programes per exercir les seves funcions. Aquest tractament és il·lícit, atès que no hi havia cap base jurídica que legitimés que una treballadora fes ús de l'usuari i contrasenya d’una altra.