L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'han trobat 37 resultats
Mesures de seguretat i infracció principi de confidencialitat.
19/02/2026 10:25
-
Registre de publicació
PS-0071/2025
Aigües de Barcelona va girar una factura a un número de compte bancari erroni, que la persona denunciant mai havia facilitat a la companyia i que pertanyia a un tercer. L’entitat denunciada no havia implementat les mesures tècniques i organitzatives adequades per impedir, des del disseny i per defecte, la possibilitat que es vinculés incorrectament la referència del mandat de pagament i el número de contracte del servei de subministrament d’aigua. Aquest fet va comportar que es comuniquessin les dades de la persona denunciant a una entitat bancària amb la qual no tenia cap relació. S'aplica el concurs medial d’infraccions i es proposa imposar una sanció per la vulneració del principi de confidencialitat tipificat a l’article 83.5.a, en relació amb l’article 5.1.f, ambdós de l’RGPD. Import sanció: 10.000 euros
09/12/2025
Documents:
Seguiment de treballadors sense contracte d'encarregat.
13/01/2026 13:05
-
Registre de publicació
IP-0630/2024
Una persona va denunciar una empresa privada d’haver contractat successivament un despatx de detectius perquè investigués a un nombre de treballadors, sense haver formalitzat un contracte d’encarregat, sense haver realitzat prèviament una anàlisi de riscos i una avaluació d’impacte en protecció de dades, i sense haver-ne informat prèviament els treballadors. La denúncia s’arxiva atès que les eventuals infraccions comeses haurien prescrit en data anterior a la presentació de la denúncia davant l’Autoritat.
24/11/2025
Documents:
Informe emès a petició de la Comissió de Garantia del Dret d’Accés a la Informació Pública en relació amb un reclamació contra la denegació d’una empresa de serveis de residus urbans d’accés a la informació relativa als pagaments duts a terme als membres del seu consell d'administració entre l'any 2000 i el 2024
17/11/2025 13:36
-
Registre de publicació
IAI 59/2025
La normativa de protecció de dades no impedeix lliurar a la persona reclamant la informació sobre les retribucions anuals percebudes pels membres del consell d’administració, incloses les dietes i indemnitzacions, sens perjudici de la disponibilitat d’aquesta informació d’acord amb el principi de limitació del termini de conservació i el deure de bloqueig previstos a la normativa de protecció de dades.
29/09/2025
Documents:
Arxiu per inexistència d'infracció de la normativa de protecció de dades.
29/09/2025 14:30
-
Registre de publicació
IP 651/2024
La persona denunciant manifestava que el centre escolar on estava matriculada la seva filla havia canviat l'empresa gestora del menjador, la qual requeria la inscripció de l'infant i un progenitor en una aplicació que, segons ella, no permetia rebutjar el tractament de les dades. No obstant això, durant la fase d'informació prèvia s'ha comprovat que el registre a l'aplicació, així com la prestació del servei, es fonamenta en l'execució d'un contracte entre la persona usuària i l'empresa (art. 6.1.b RGPD) i que la política de privacitat de l'empresa compleix amb el deure d'informació (art. 13 RGPD). També s'ha verificat que es pot rebutjar el tractament de dades per a finalitats comercials i que s'especifiquen terminis de conservació. Per tot això, es resol arxivar les actuacions, en no constatar-se cap vulneració de la normativa de protecció de dades.
26/06/2025
Documents:
Ús de dispositius de monitoratge continu de la glucosa.
12/12/2025 15:42
-
Registre de publicació
PS 49/2025
En el marc de l'assistència sanitària pública, l'hospital d'una fundació privada va proporcionar a 252 pacients uns dispositius per al seguiment i control dels nivells de glucosa, que comportaven la recollida de dades per part del laboratori privat que proporcionava els dispositius i l'aplicació de suport. El laboratori va recollir nombroses dades per a finalitats assistencials, comercials i de promoció i millora dels seus productes, així com d'investigació i estadístiques, sense informar-ne prèviament els pacients. A més, en el full de consentiment informat, es va supeditar l'accés al servei públic a l'acceptació del tractament de dades per a finalitats comercials. I en el contracte d'encarregat subscrit amb la fundació només s'assenyalava que el laboratori es limitaria a recollir les dades necessàries per a enviar els dispositius als usuaris. D'altra banda, el denunciant va sol·licitar l'accés a informació sobre les finalitats dels tractaments duts a terme pel laboratori privat, però la fundació es va limitar a reenviar la seva sol·licitud al laboratori, el qual no va donar-hi resposta satisfactòria.
L'Autoritat va imposar una multa a la fundació per la comissió de 4 infraccions:
1) Infracció molt greu per vulneració del principi de lleialtat i transparència, i infracció molt greu per proporcionar informació parcial i errònia.
2) Infracció molt greu per manca de licitud o tractament il·legítim.
3) Infracció greu per manca de contracte d'encarregat.
4) infracció molt greu per manca d'atenció al dret d'accés.
26/06/2025
Documents:
Sistema de recuperació de la contrasenya que permet visualitzar-la en text pla a l'usuari i al cap de sistemes d'informació.
11/08/2025 13:49
-
Registre de publicació
PS 111/2024
Una empresa pública que gestiona el servei de subministrament d'aigües municipal té a internet una oficina virtual d'usuaris del servei en la qual es preveia que, davant d'un oblit de contrasenya, s'enviava a l'usuari un correu electrònic amb el seu NIF i la contrasenya antiga en text pla. D'altra banda, el sistema d'emmagatzematge de les contrasenyes utilitza algoritme de xifratge (i, per tant, és reversible), i el cap que gestiona els sistemes d'informació té accés a les contrasenyes en clar dels usuaris. Això suposa un perill davant possibles atacants del sistema. Se sanciona l'entitat imputada amb una multa de 13.400 euros, com a responsable d'una infracció greu per no haver adoptat les mesures de seguretat necessàries per garantir la confidencialitat de les credencials dels seus usuaris.
21/05/2025
Documents:
Implantació de Google Workspace for Education en una escola pública de Primària.
31/10/2025 10:49
-
Registre de publicació
PS 77/2024
La persona denunciant es queixava que l'escola on estava matriculat el seu fill menor de 14 anys havia decidit implantar l'eina Google Workspace for Education (GWE) perquè la utilitzessin els alumnes, sense el seu consentiment ni informació suficient.
L'APDCAT resol declarar que l'escola ha comès cinc infraccions, referides a tractaments de dades dels alumnes de 5è i 6è de Primària i del personal docent, derivats de l'ús de GWE:
1) Infracció molt greu per vulneració del principi de lleialtat i transparència (les clàusules reguladores de Google estan disperses pel seu web) i infracció molt greu per proporcionar informació parcial i errònia.
2) Infracció greu per manca d'una anàlisi de riscos.
3) Infracció greu per manca d'avaluació d'impacte (AIPD).
4) Infracció greu per manca d'un contracte d'encarregat vàlid (Google s'atribueix el poder de decisió en qüestions essencials i pot modificar unilateralment les clàusules que regulen l'encàrrec).
5) Infracció greu per manca de participació del DPD en la decisió d'utilitzar GWE.
28/02/2025
Documents:
Educació
Consentiment
CONCEPTE DADA PERSONAL
Encarregat tractament
ÀMBIT SECTORIAL
ENTITATS
CESSIÓ O COMUNICACIÓ DE DADES
OBLIGACIONS
Avaluació impacte
Dades menor
Missió en interès públic o exercici de poders públics
ENCARREGAT TRACTAMENT
Principi licitud
TRANSFERÈNCIES INTERNACIONALS DADES
Registre d’activitats de tractament (RAT)
DELEGAT PROTECCIÓ DADES
Centre educatiu
Computació núvol
PRINCIPIS
Centre educatiu
Societats mercantils
Exercici del dret de supressió del número de telèfon mòbil particular i oposició a rebre trucades o missatges de feina en aquest telèfon.
02/06/2025 10:20
-
Registre de publicació
PT 99/2024
El reclamant es queixava que l'entitat no havia atès la seva sol·licitud d'exercici del dret de supressió del número de telèfon mòbil particular i d'oposició a rebre trucades o missatges de feina en aquest telèfon. Es resol estimar parcialment la reclamació perquè l'entitat va admetre que va respondre i atendre els drets del reclamant fora de termini. No hi ha pronunciament sobre el fons perquè l'entitat ja va resoldre la reclamació.
13/11/2024
Documents:
Desatenció del dret d'accés.
04/11/2024 11:43
-
Registre de publicació
PT 29/2024
La persona reclamant va demanar a Marina Badalona SA, utilitzant el canal adequat, l'autorització de domiciliació bancària on li pretenien cobrar una taxa (document SEPA). S'estima la reclamació i es requereix Marina Badalona SA perquè faci efectiu el dret d'accés de la persona reclamant.
03/05/2024
Documents:
Trucades del Servei d'Atenció a l'Usuari (SAU) sobre la història clínica compartida i La Meva Salut, sense informar sobre protecció de dades.
04/11/2024 11:40
-
Registre de publicació
PS 76/2023
Es canvia el criteri inicial (en què es considerava el Departament de Salut i el CTTI corresponsables) i es declara que el Departament de Salut, com a únic responsable del tractament, ha comès una infracció molt greu per no haver verificat que les entitats prestadores del servei (CTTI i empreses sotsencarregades) no informaven sobre protecció de dades en les trucades del SAU, inclòs el fet que la trucada podia ser gravada.
25/04/2024
Documents: