L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El reclamant, que actua en la seva condició de delegat sindical, té dret a accedir a les convocatòries enviades als participants en el procés de selecció per fer les entrevistes, així com a les dades identificatives del personal empleat públic que ha participat en la tramitació i resolució del procés selectiu per raó del seu càrrec.
Quant a les actes de valoració de les entrevistes, s’ha de denegar l’accés a aquesta informació respecte de les persones aspirants que no hagin estat seleccionades. Pel que fa a les persones finalment seleccionades, només podria accedir-ne si el reclamant actua en representació d’una organització sindical que tingui la consideració de més representativa. En cas contrari l’accés s’hauria de limitar a la puntuació final obtinguda i, si escau, a la documentació que reculli la motivació de la selecció del candidat.
El reclamant, que actua en la seva condició de delegat sindical, té dret a accedir a les convocatòries enviades als participants en el procés de selecció per fer les entrevistes, així com a les dades identificatives del personal empleat públic que ha participat en la tramitació i resolució del procés selectiu per raó del seu càrrec.
Quant a les actes de valoració de les entrevistes, s’ha de denegar l’accés a aquesta informació respecte de les persones aspirants que no hagin estat seleccionades. Pel que fa a les persones finalment seleccionades, només podria accedir-ne si el reclamant actua en representació d’una organització sindical que tingui la consideració de més representativa. En cas contrari l’accés s’hauria de limitar a la puntuació final obtinguda i, si escau, a la documentació que reculli la motivació de la selecció del candidat.
L’interès legítim per part de la ciutadania (art. 6.1.f) RGPD), podria habilitar el tractament de dades identificatives (imatge gràfica i número d’identificació d’agents de FFCCS), sens perjudici dels límits i condicions previstes a la normativa. En atenció a la normativa vigent (art. 36.23 LOPSC), el risc o perill concret que ha de concórrer per considerar il·lícita i sancionable la difusió d’imatges ha de ser concret, proporcionat, comprovable i objectivable, en els termes de la STC 172/2020, i atenent a la casuística de cada situació particular, que no correspon a aquesta Autoritat determinar. Atès el concepte de dada personal, la licitud de la captació i difusió, si escau, del número d’identificació TIP, sembla que podria concórrer, també, quan la difusió de la imatge dels agents es consideri legítima en aplicació de la legislació aplicable.
S’examina la viabilitat d’utilitzar la signatura biomètrica per a determinats documents en l’àmbit de salut, com serien el consentiment informat (oferint una alternativa) i altres documents administratius. S’analitza la diferenciació entre identificació i signatura en l’àmbit de les actuacions administratives i es conclou que, mentre les dades biomètriques no s’emprin per identificar i autenticar mitjançant un tractament tècnic específic, no hi ha un tractament de categories especials de dades. Des d’aquest punt de vista, el seu ús i prova estaria regulat per la normativa sobre la signatura electrònica i s’empararia en la normativa de procediment i el dret dels interessats d’utilitzar mecanismes electrònics de signatura; això, sempre que compleixin la legislació sobre serveis electrònics de confiança. En cas de discrepància amb la signatura biomètrica emesa, sí que suposaria un tractament de dades a l’efecte d’autenticació, que estaria fonamentat en la base legitimadora de l’article 9.2.f de l’RGPD
La persona reclamant vol saber la identitat de les persones que han accedir a les seves dades i les comunicacions a tercers. L'ICS va resoldre la sol·licitud fora de termini, raó per la qual s'estima la reclamació per motius formals. Pel que fa al fons de la reclamació, s'estima parcialment i es requereix l'entitat reclamada perquè faciliti la informació sobre les comunicacions a tercers.
La persona reclamant va presentar quatre sol·licituds davant la DGP, en què demanava la supressió de certes dades relatives a unes diligències policials. La DGP va estimar la supressió de la majoria de les dades, però va denegar la petició respecte de les dades en què la persona reclamant havia aportat els certificats judicials de sobreseïment provisional; la DGP considera que un sobreseïment provisional no deixa definitivament tancat el procés i pot ser reobert en qualsevol moment, si apareixen proves suficients per demostrar la comissió d'un delicte o la culpabilitat dels processats, i fins a la prescripció dels fets. S'estima parcialment i es requereix la DGP perquè faci una anotació en l'àmbit del sistema d'informació policial (SIP).
Es resol declarar que l'Ajuntament de Piera ha vulnerat el principi de minimització, atès que va publicar la llista d'admesos i exclosos d'un procés selectiu en què va identificar les persones excloses provisionalment amb nom, cognoms i DNI complet. En relació amb això, la DA 7 LOPDGDD disposa que només s'han de publicar quatre xifres del DNI i la identitat de les persones afectades. En conseqüència, es conclou que la publicació de dades excessives va vulnerar l'article 5.1.c RGPD.
El denunciant es queixa perquè se li ha denegat l'exercici del dret d'accés perquè no el va sol·licitar mitjançant el tràmit adequat. L'interessat volia saber el motiu pel qual l'entitat va accedir a dades policials a través de la PICA, quan es tracta d'una persona resident fora de Catalunya. Es desestima la petició per motius formals, ja que va sol·licitar accedir a les dades a través d'una petició genèrica que no permet acreditar la identitat del sol·licitant. Pel que fa al fons, es considera que, quan ho demani de manera que permeti acreditar la seva identitat, té dret a obtenir les dades demanades.
La persona reclamant demanava accedir a la traçabilitat de les seves dades, del CAP de Sants. Considerava que l'ICS no havia satisfet el seu dret, atès que li havia lliurat informacions contradictòries, no l'havia informat sobre la identitat de les persones que havien consultat les seves dades i no li havia facilitat la data d'extracció de la informació. L'Autoritat resol estimar parcialment la reclamació i requerir l'ICS perquè li faciliti la traçabilitat completa i perquè informi la reclamant sobre si hi ha hagut comunicacions a terceres persones, fora de l'àmbit del responsable del tractament. En darrer terme, respecte de la identitat de les persones que han accedit a les dades dins l'àmbit del responsable del tractament, s'argumenta que el dret d'accés de l'article 15.c RGPD no empara el dret de les persones interessades d'accedir a aquesta informació.
L'Ajuntament no va implementar les mesures tècniques i organitzatives adequades per impedir, des del disseny i per defecte, la possibilitat que si dues persones entren simultàniament al sistema, cadascuna amb el seu certificat electrònic, s'accedeixi a la pantalla inicial de la carpeta ciutadana de l'altra persona. A conseqüència d'això, es va infringir el deure de confidencialitat, en quedar exposades les dades d'una altra persona usuària. Concurs medial d'infraccions (mesures de seguretat i confidencialitat). Es declara la infracció del principi de confidencialitat.