L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Escau estimar la reclamació formulada contra la Fundació Institut d'Investigació Sanitària Pere Virgili, atès que l'entitat va respondre en el termini establert per la normativa aplicable, però no va lliurar a la reclamant tota la documentació en què consten les seves dades personals. En concret, no se li va entregar el document de conformitat emplenat pel responsable del servei de l'Hospital Universitari Verge de la Cinta.
La Fundació PM va enviar dos correus electrònics a diversos destinataris amb adreces corporatives de l'administració pública, en els quals adjuntava documents sobre si era escaient o no el retorn d'una persona a un centre gestionat per la Fundació. Aquest fet va comportar que es revelessin als destinataris d’aquests missatges les dades personals i de salut d'aquesta persona, contingudes als documents adjuntats.
La persona denunciant es queixava que l'entitat li enviava missatges electrònics comercials sense el seu permís i després que hagués sol·licitat que no els volia rebre. Es resol arxivar les actuacions perquè no hi ha prou elements que permetin imputar la comissió d'una infracció, ja que no s'ha constatat que la persona denunciant utilitzés els canals que li havien facilitat per cancel·lar una subscripció per rebre missatges electrònics comercials.
S'amonesta l'entitat infractora com a responsable d'una infracció prevista a l'article 83.5.a, en relació amb els articles 6 i 7 de l'RGPD, per no haver demanat el consentiment en relació amb la finalitat del tractament "elaboració de perfils", al registre d'usuaris en línia.
Una persona va denunciar que, en el marc d'una assistència sanitària privada, va rebre una carta en què se li comunicava la programació d'una prova mèdica on figurava el seu número de CIP i el seu domicili, tot i no haver-los facilitat a l'entitat privada. L'Autoritat va sancionar la fundació imputada amb una multa, per haver vulnerat el principi de licitud, en haver tractat dades provinents de l'assistència pública en el marc de la prestació d'assistència privada. També es van imputar dues infraccions més: una, per vulneració del principi de limitació de la finalitat, que no es va sancionar perquè queda subsumida en la vulneració del principi de licitud; i una altra per vulneració del deure de protecció de dades des del disseny i per defecte, que tampoc es va sancionar per concurs ideal d'infraccions.