L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es declara que el Departament ha comès una infracció molt greu per vulneració del principi de minimització, per haver desat en una carpeta d'ús compartit entre les unitats d'una Subdirecció general els quadres de vacances dels treballadors d'aquestes unitats, que contenien el seu nom i cognoms i NIF complet de cadascun (el NIF és excessiu).
D'altra banda, en l'acord d'iniciació es va acordar arxivar 3 fets denunciats: 1) un, referit a la recepció d'un correu sospitós de suplantació d'identitat (phishing): es va arxivar perquè el Departament va confirmar la veracitat del correu i de la identitat de la persona remitent, qui va enviar el correu en exercici de les seves funcions; 2) un segon, referit a la petició del Departament perquè el denunciant fer ús del l'IdCAT Mòbil personal en l'àmbit laboral: es va arxivar atès que finalment la persona denunciant no en va fer ús; i 3) un tercer, sobre la identificació errònia del DPD: es va arxivar atès que aquesta errada no va impedir que la persona denunciant pogués comunicar-se amb el DPD, i en el Registre de DPD consta la informació actualitzada.
La persona reclamant es queixava per la desatenció de dues sol·licituds d'exercici del dret d'accés que va presentar davant l'AOC, sense que aquesta última li donés cap resposta. Al respecte, es declara que el Consorci Administració Oberta de Catalunya ha atès de forma extemporània les sol·licituds d'accés de la persona reclamant, ja que no ha acreditat haver-li notificat efectivament les resolucions corresponents a les dites sol·licituds, sense entrar en altres consideracions respecte el fons ja que l'AOC va resoldre facilitar l'accés. Es requereix l'AOC perquè faci efectiu el dret d'accés exercit.
L'enviament d'un correu electrònic a l'ara denunciant, relacionat amb els serveis del certificat electrònic, constitueix un tractament de dades compatible amb la finalitat inicial per a la qual es van recollir les dades, que va ser, precisament, per a la contractació del referit certificat . Així doncs, en la mesura que es compleixen les exigències de l'article 6.4 RGPD, procedeix l'arxiu de l'expedient.
Als efectes del règim de comunicació de dades (art. 11 LOPD), la legislació estudiada habilita l’Ajuntament per incloure el nom i cognoms dels funcionaris que signen per delegació de signatura els certificats objecte de consulta, ja sigui en suport paper o en format electrònic, sense el seu consentiment. No resulta exigible ni justificada, amb caràcter general, la supressió del nom i cognoms dels funcionaris que signen els certificats municipals objecte de consulta, ni la seva substitució pel “codi de funcionari”. Els treballadors afectats poden exercir el dret d’oposició, motivadament i en relació amb la seva situació concreta, en els termes de la normativa aplicable.
La inclusió de la dada DNI en els camps d’informació que conformen l’estructura dels certificats qualificats de treballadors públics no resultaria, amb caràcter general, adequada al principi de minimització. Des del punt de vista del dret a la protecció de dades, cal valorar la possibilitat d’establir una política de certificació que prevegi la utilització de certificats basats en pseudònims, als efectes d’evitar la difusió d’aquesta dada, opció plenament vàlida en atenció a les previsions del ReIDAS.