L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
L'ajuntament va cometre 2 infraccions: 1. Manca de contracte d'encarregat del tractament amb l'entitat contractada per prestar servei de DPD. 2. Vulneració del principi d'exactitud, perquè a la seu electrònica de l'Ajuntament van publicar de forma inexacta les dades de contacte del DPD. D'altra banda, s'arxiva el fet denunciat sobre els vicis en la tramitació del contracte d'externalització del servei de DPD, perquè es considera acreditat que, amb independència que la contractació del servei pogués incomplir algun requisit de forma previst a la normativa de contractació, la relació contractual entre l'ajuntament i l'empresa existia des d'un inici.
Es declara la comissió d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.c, ambdós de l'RGPD, per la vulneració del principi de minimització en incloure innecessàriament la dada del domicili en una notificació relacionada amb un expedient de constrenyiment.
La comunicació al Síndic de Greuges de Catalunya de l’expedient relatiu a una queixa presentada per una pacient sobre el tracte rebut per un metge col·legiat, tindria base jurídica suficient (art. 6.1, apartats a) i c) RGPD) en connexió amb els articles 78 i 79 de l’EAC i les previsions de la Llei 24/2009, tenint en compte la informació personal que, atesa la informació disponible, podria contenir-se en el dit expedient. La concurrència del consentiment explícit de la pròpia afectada habilitaria la comunicació al Síndic de Greuges de les seves dades de salut, ex. art. 9.2.a) RGPD, en connexió amb les bases jurídiques esmentades (art. 6.1 RGPD).
La normativa de protecció de dades no impediria conèixer el nombre total d’alts càrrecs que s’han sotmès al procés de regularització, i la informació sobre el lloc de treball d’alt càrrec. Tampoc no impediria conèixer quina ha estat la plaça obtinguda o el tipus de procés selectiu establert en cada cas. La ponderació seria favorable a l’accés, en relació específicament amb la informació retributiva reclamada. Pel que fa a la informació sobre quina relació laboral prèvia mantenien amb l'administració els afectats, els anys en què es va produir i en quina situació administrativa es trobaven si eren funcionaris (excedència, serveis especials o qualsevol tipologia prevista legalment, inclosa la situació de comissió de serveis posterior), l’accés requeriria la prèvia pseudonimització de les dades personals.
El tractament de les dades personals objecte de la consulta per a la realització per part d’una empresa externa a l’ajuntament d’un estudi sobre la bretxa digital de les persones majors de 60 anys del municipi, requerirà el previ consentiment de les persones interessades en els termes de l’article 7 de l’RGPD. Únicament es consideraria compatible amb aquest tractament posterior el tractament de les dades del padró municipal d’habitant relatives a la residència o domicili i la data de naixement de les persones interessades. Així mateix, un cop determinada la licitud del tractament i tenint en consideració el principi de minimització en quant a la informació necessària per a la finalitat pretesa, l’ajuntament hauria de formalitzar el corresponent acte jurídic d’encàrrec del tractament a l’empresa encarregada de realitzar l’estudi, d’acord amb l’article 28.3 RGPD.
S'estima parcialment la reclamació, referida a la desatenció d'una sol·licitud d'accés exercida per un pare respecte de la història clínica (HC) del seu fill menor, sobre uns diagnòstics psicosocials que el pare qüestionava. Després que el pare presentés una sol·licitud d'accés, l'ICS va modificar diversa informació vinculada a aquests diagnòstics, cosa que va impedir que el pare hi accedís. Pel que fa a la resta de documentació sol·licitada, es desestima la reclamació ja que, o bé no s'ha aportat cap prova indiciària que existeixi, o bé comporta l'elaboració d'una informació, cosa que excedeix el dret d'accés de protecció de dades.
S'estima la reclamació de tutela, atès que l'entitat no va respondre en el termini establert a la normativa. No escau requerir cap actuació, atès que l'entitat va donar resposta ajustada a dret, tot i que extemporàniament.
Es declara la vulneració del principi de confidencialitat per l'enviament d'un correu electrònic a 30 destinataris, sense fer ús de l'opció còpia oculta. Aquest fet ha comportat la difusió de les adreces electròniques dels destinataris i, en alguns casos, també del nom i cognoms.
Una empleada pública va emprar les dades identificatives d'una ciutadana per denunciar-la davant del Cos de Mossos d'Esquadra (CME), per una presumpta agressió soferta quan la ciutadana va demanar una cita prèvia en una oficina d'atenció a la ciutadania. Es considera que la recollida de dades identificatives de la ciutadana està emparada per l'article 6.1.e de l'RGPD, relatiu a l'exercici de poders públics, per concertar la cita prèvia. Pel que fa la comunicació de dades personals al CME, es considera que la informació era necessària per complir una obligació legal (art. 6.1.c RGPD), en connexió amb la Llei d'enjudiciament criminal (LECr), que obliga a informar el jutge d'instrucció de qualsevol delicte públic