L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades permetria a la persona reclamant, pel fet d’ostentar la condició de delegada de personal i delegada sindical, a conèixer determinada informació sobre les sancions imposades per faltes molt greus o l’audiència en els casos d’acomiadament o sancions als afiliats al sindicat al qual pertany. Ara bé, no està legitimada a accedir a l’expedient o expedients relatius a la investigació o sanció d’uns fets presumptament constitutius d’infracció disciplinària
S'estima la reclamació de tutela, ja que l'entitat reclamada no va respondre la sol·licitud en el termini exigit per la normativa. Quant al fons, es considera ajustat a dret que l’entitat reclamada no tramités la sol·licitud, a causa del caràcter repetiu de la pretensió.
Analitzades les consultes formulades per l’entitat, i sobre la base de la informació que ha estat tramesa, es conclou el següent:
1) La normativa de protecció de dades no obliga a subscriure un contracte de cessió de dades personals. En qualsevol cas, la comunicació de dades personals requereix d’una base jurídica que la legitimi prenent en consideració les qüestions que han estat exposades en el fonament jurídic II d’aquest dictamen.
2) És necessari subscriure un contracte d’encarregat del tractament entre l’entitat i I’empresa contractada per donar suport en la coordinació d’activitats empresarials que s’ajusti a les previsions de l’article 28 de l’RGPD i l’article 33 de l’LOPDGDD.
3) D’acord amb la informació que s’ha pogut constatar, l’empresa subministradora del software actua com a subencarregada del tractament de les dades del personal de les empreses externes en el marc de la coordinació d’activitats empresarials.
4) La normativa de protecció de dades no obliga a subscriure cap contracte entre les empreses externes que presten un servei a l’entitat i l’empresa que donar suport en la coordinació d’activitats empresarials o l’empresa subministradora del software.
El GM del desenvolupament de Fontpineda va publicar al seu compte de Facebook i a la seva revista mensual la carta que AMB va enviar a l'Ajuntament. Aquesta carta inclou la signatura digital de l'emissària, que incorpora el núm. de DNI. Vulneració principi minimització.
Escau estimar parcialment la reclamació, atès que quan l'EAP Centelles va respondre la sol·licitud va lliurar la informació parcialment. En concret, va facilitar la informació mèdica, però no va lliurar les dades identificatives de la usuària, que també formen part de la història clínica. Quant al format de lliurament de la informació, la reclamant es queixava perquè no li havien lliurat les dades en el format electrònic "e-cap". Tanmateix, l'entitat reclamada va exposar que la informació era a l'aplicació OMIap; per això, les dades es van extreure a partir d'aquesta plataforma, en lloc de l'e-cap. En aquestes circumstàncies, no escau estimar la pretensió de la reclamant d'obtenir la informació per mitjà d'un programari informàtic determinat.
S'estima parcialment la reclamació, atès que l'ICS no va respondre en termini la sol·licitud de supressió. Quant al fons, no cal efectuar cap pronunciament atès que, en el marc d'aquest procediment, l'entitat reclamada ha suprimit la informació objecte de petició.
Es denuncia la recepció per correu postal de documentació sobre una visita mèdica d'una tercera persona aliena al denunciant. La documentació inclou dades personals (nom, cognoms, DNI, CIP i adreça postal) i informació sobre la visita mèdica. S'imputa una infracció del principi de confidencialitat.
La persona denunciant es queixava que el Síndic de Greuges local havia utilitzat el seu correu particular per respondre una queixa que havia presentat contra un ajuntament. La denúncia s'arxiva per considerar, d'una banda, que l'adreça particular utilitzada és una dada personal del Síndic i, per tant, l'ús d'aquesta dada a l'efecte assenyalat va ser un tractament consentit pel seu titular (art. 6.1.a RGPD). I, d'altra banda, perquè les dades de la denunciant tractades amb l'enviament d'aquest correu obeeixen al compliment de les funcions assignades al Síndic (art. 6.1.e RGPD).
S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior (DGP) no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.