L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.
S'arxiva la queixa contra l'ajuntament perquè, en un pla d'avaluació de riscos psicosocials, va comunicar dades personals excessives a l'empresa contractada per fer una enquesta en línia sobre prevenció. La comunicació es va produir en el marc d'un contracte d'encarregat del tractament i les dades personals traspassades eren les mínimes necessàries perquè l'empresa pogués prestar el servei contractat.
Es declara que l'entitat ha vulnerat el principi de minimització de dades, per trametre la còpia d'una denúncia sense anonimitzar determinades dades de la representant de la persona jurídica denunciant. L'entitat denunciada va comunicar dades excessives (DNI, data de naixement, adreça i mòbil) de la representant d'una associació que havia presentat una denúncia contra una corporació local.
Atesa la normativa aplicable, no sembla que la condició de família monoparental comporti necessàriament la limitació o exclusió de l’accés a les dades del menor per part de l’altre progenitor, sempre que aquest mantingui l’exercici de la potestat parental. Sembla raonable demanar l’aportació de documentació complementària al sol·licitant, que acrediti la seva condició de titular de la potestat parental, sempre que el responsable del tractament no disposi de documentació prèvia que acrediti aquesta condició. En cas de possible conflicte entre les parts o de circumstàncies que puguin afectar l’exercici del dret d’accés per representació, també semblaria raonable donar trasllat d’aquesta petició a la mare del menor per tal que pugui al·legar si existeix alguna circumstància que hagi de comportar una limitació del dret d’accés.
La normativa de protecció de dades no impedeix comunicar a la persona reclamant la informació relativa als accessos que s’han produït a la seva història clínica per als períodes sol·licitats. Ara bé, atès que la persona reclamant ha exposat que només necessita conèixer la categoria professional de qui ha accedit a la seva història clínica, l’accés s’hauria d’ajustar als termes del seu requeriment.
El denunciant es queixa que l'institut en què treballa ha filtrat informació confidencial sobre un conflicte que va tenir amb un alumne. Aporta diverses notícies dels mitjans de comunicació en què consten dades personals seves. Es dicta resolució d'arxivament, atès que no s'ha pogut acreditar que el responsable de la filtració sigui l'institut.
Principi de presumpció d'innocència. S'arxiven les actuacions, ja que durant la fase d'investigació no ha aparegut cap element de prova que permeti atribuir de manera incontrovertible a la Divisió d'Afers Interns (DAI) dels Mossos d'Esquadra la filtració de les dades publicades pel diari digital El Nacional, sobre un agent del CME ni, en conseqüència, acreditar que l’entitat denunciada ha comès una infracció.
En el cas examinat, a la vista del marc normatiu d’aplicació i la informació disponible, podria concloure’s que la societat municipal actuaria, en relació amb els tractaments de dades necessàries per dur a terme les actuacions vinculades a programes per afavorir la inserció sociolaboral de determinats col·lectius per encàrrec de l’Ajuntament, com a subencarregada del tractament.
Per altra banda, seria necessari el consentiment de les persones que sol·liciten participar en els dits programes, així com de les persones que sol·liciten a la societat municipal, com a agència de col·locació, els serveis de col·locació i intermediació laboral, per a tractar les seves dades personals.
Aquesta Autoritat manté el criteri del dictamen CNS 63/2018 relatiu a que el responsable del tractament ha de verificar a través d’una avaluació d’impacte de protecció de dades que el tractament de dades biomètriques amb la finalitat de control de presència o de jornada laboral, entre altres qüestions que cal analitzar, compleix amb el principi de licitud (art. 6 de l’RGPD i art. 9 de l’RGPD) i supera el judici de necessitat i proporcionalitat en els termes que s’han exposat.
D’altra banda, l’avaluació d’impacte comporta l’anàlisi de les obligacions i els principis del tractament que estableix la normativa de protecció de dades, en el cas en concret, sense que el seu resultat es pugui plantejar en termes teòrics o generals