L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
l'entitat denunciant es queixava que en un compte particular de Facebook es va publicar un decret d'alcaldia, abans de presentar-lo al ple. El decret contenia el nom i cognoms d'un regidor d'un grup municipal, el qual havia fet una sol·licitud a l'ajuntament en representació del seu grup. Es resol arxivar les actuacions, perquè esmentar en un decret d'alcaldia el nom i cognoms d'un regidor del consistori que actua en representació del seu grup no es pot considerar una infracció tipificada a la legislació sobre protecció de dades, encara que es publiqui sense anonimitzar. Pel que fa a la resta de dades que conté el decret, no tenen la consideració de dades personals, ja que fan referència a una persona jurídica, en concret a un grup municipal.
La creació i gestió d’una àrea de promoció econòmica urbana pot comportar vàries comunicacions de dades personals de les persones físiques titulars del dret de possessió dels locals inclosos dins de l’àmbit de la futura àrea entre els diferents actors intervinents (ajuntament, entitat promotora i entitat gestora), que caldrà adequar a la legislació de protecció de dades, particularment, als principis de licitud i limitació de la finalitat, en els termes exposats en aquest dictamen.
Es declara que l'entitat ha vulnerat el principi de minimització de dades, per trametre la còpia d'una denúncia sense anonimitzar determinades dades de la representant de la persona jurídica denunciant. L'entitat denunciada va comunicar dades excessives (DNI, data de naixement, adreça i mòbil) de la representant d'una associació que havia presentat una denúncia contra una corporació local.
L'Autoritat declara que un Ajuntament ha comès una infracció per vulneració del principi d'exactitud, pel fet d'haver publicat un comunicat, en què l'equip de govern criticava el nombre elevat de denúncies presentades per dos grups municipals (GM), i assenyalava que la GAIP havia dictat una resolució d'arxivament d'una denúncia presentada per un regidor, a qui identificava amb el nom i primer cognom i el GM d'adscripció, quan en realitat la GAIP havia emès un dictamen a petició d'una consulta que l'Ajuntament li havia formulat.
D'altra banda, en l'acord d'iniciació es va arxivar la part referent a la difusió del nom i cognoms i del GM d'adscripció, atès que aquesta era una informació manifestament pública. També es va arxivar la part referent a la difusió del nombre d'instàncies presentades, atès que s'emmarca en la crítica política i l'exercici del dret d'informació.
Resolució d'arxivament. L'Ajuntament va informar sobre unes al·legacions interposades per un grup municipal mitjançant el seu representant, i per tant, no estaríem davant de dades referides a una persona física. Amb la publicació del nom i cognoms del denunciant no es va revelar la condició com a representant del grup municipal atès que aquesta informació era pública. L'article 9.1.f de l'LTC requereix la publicació de la relació d'alts càrrecs, entre els que s'inclouen els representants locals (art. 4.2.c LTC), com és el cas del denunciant.
Es denuncia que s'ha efectuat una notificació com a persona física en lloc de com a representant d'una persona jurídica. No s'ha acreditat que els fets constitueixin infracció administrativa.
El telèfon i l’adreça de correu electrònic, sempre que es pugui associar directament o indirecta a una persona física, són una dada personal el tractament de la qual s’ha d’adequar als principis i garanties de la normativa de protecció de dades. La publicació de les dades relatives al nom de l’establiment, el domicili industrial de l’establiment, telèfon, adreça de correu electrònic, web, enllaç directe a la ubicació en mapa i coordenades de localització geogràfica de les empreses inscrites al RIAAC, pot basar-se en el consentiment de les persones afectades. La difusió d’aquestes dades també pot basar-se en les previsions dels articles 19.3 LOPDGDD i 6.4 RGPD, sempre que s’ofereixi a les persones afectades la possibilitat de demanar l’exclusió de la seva empresa de la difusió.
Les Oficines exteriors de l’entitat poden recollir i tractar dades de contacte corporatiu i, per tant, enviar comunicacions electròniques sobre els serveis i activitats que ofereix l’entitat, sobre la base de l’article 6.1.e) RGPD i de l’article 19.3 LOPDGDD, si bé, en cas de no adoptar la forma d’alguna de les entitats a què es refereix l’article 77.1 LOPDGDD, seria d’aplicació l’article 19.2 LOPDGDD. Això sens perjudici que hagin d’adequar la seva activitat també, si escau, a la normativa vigent en els diferents estats en què operin.
No s'aplica la normativa sobre protecció de dades de caràcter personal al tractament de dades de persones jurídiques.