L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'han trobat 40 resultats
Error en el tractament com a propietària d'un immoble.
20/05/2026 16:27
-
Registre de publicació
PS-0013/2026
La denunciant va rebre una denúncia de la companyia d'aigües, per no atendre un requeriment com a propietària d'un immoble. Iniciat un expedient sancionador per l'ajuntament, es conclou que la denunciant no era la propietària de l'immoble. Per tant, la companyia d'aigües va tractar erròniament a la denunciant com a propietària de l'immoble afectat. S'imputa vulneració del principi d'exactitud.
21/04/2026
Enviament de dades especialment sensibles sense encriptar.
14/04/2026 12:39
-
Registre de publicació
PS-0110/2025
Cinc residències enviaven correus electrònics a les oficines de farmàcia amb el contingut de dades personals i especialment sensibles sense utilitzar mesures adequades al risc, com podria ser el xifratge de les dades o l'encriptació dels missatges. S'imputa la manca d'adopció de mesures tècniques i organitzatives apropiades en els termes que exigeix l'article 32.1 de l'RGPD.
19/03/2026
Mesures de seguretat insuficients.
01/04/2026 13:34
-
Registre de publicació
PS-0087/2025
Les mesures de seguretat comporten que el responsable de tractament hagi de mantenir els seus equips i sistemes degudament actualitzats. Cada actualització aborda vulnerabilitats i debilitats que podrien ser explotades per atacants
maliciosos, protegint així la informació confidencial, les dades personals i evitant possibles atacs cibernètics. En el
cas que ens ocupa, abans que es produís el ciberatac, no es disposava de les mesures de seguretat adequades, cosa que va propiciar el ciberatac que va afectar aproximadament a 2000 persones.
20/01/2026
Documents:
Mesures de seguretat i infracció principi de confidencialitat.
19/02/2026 10:25
-
Registre de publicació
PS-0071/2025
Aigües de Barcelona va girar una factura a un número de compte bancari erroni, que la persona denunciant mai havia facilitat a la companyia i que pertanyia a un tercer. L’entitat denunciada no havia implementat les mesures tècniques i organitzatives adequades per impedir, des del disseny i per defecte, la possibilitat que es vinculés incorrectament la referència del mandat de pagament i el número de contracte del servei de subministrament d’aigua. Aquest fet va comportar que es comuniquessin les dades de la persona denunciant a una entitat bancària amb la qual no tenia cap relació. S'aplica el concurs medial d’infraccions i es proposa imposar una sanció per la vulneració del principi de confidencialitat tipificat a l’article 83.5.a, en relació amb l’article 5.1.f, ambdós de l’RGPD. Import sanció: 10.000 euros
09/12/2025
Documents:
Seguiment de treballadors sense contracte d'encarregat.
13/01/2026 13:05
-
Registre de publicació
IP-0630/2024
Una persona va denunciar una empresa privada d’haver contractat successivament un despatx de detectius perquè investigués a un nombre de treballadors, sense haver formalitzat un contracte d’encarregat, sense haver realitzat prèviament una anàlisi de riscos i una avaluació d’impacte en protecció de dades, i sense haver-ne informat prèviament els treballadors. La denúncia s’arxiva atès que les eventuals infraccions comeses haurien prescrit en data anterior a la presentació de la denúncia davant l’Autoritat.
24/11/2025
Documents:
Informe emès a petició de la Comissió de Garantia del Dret d’Accés a la Informació Pública en relació amb un reclamació contra la denegació d’una empresa de serveis de residus urbans d’accés a la informació relativa als pagaments duts a terme als membres del seu consell d'administració entre l'any 2000 i el 2024
17/11/2025 13:36
-
Registre de publicació
IAI 59/2025
La normativa de protecció de dades no impedeix lliurar a la persona reclamant la informació sobre les retribucions anuals percebudes pels membres del consell d’administració, incloses les dietes i indemnitzacions, sens perjudici de la disponibilitat d’aquesta informació d’acord amb el principi de limitació del termini de conservació i el deure de bloqueig previstos a la normativa de protecció de dades.
29/09/2025
Documents:
Ús de dispositius de monitoratge continu de la glucosa.
12/12/2025 15:42
-
Registre de publicació
PS 49/2025
En el marc de l'assistència sanitària pública, l'hospital d'una fundació privada va proporcionar a 252 pacients uns dispositius per al seguiment i control dels nivells de glucosa, que comportaven la recollida de dades per part del laboratori privat que proporcionava els dispositius i l'aplicació de suport. El laboratori va recollir nombroses dades per a finalitats assistencials, comercials i de promoció i millora dels seus productes, així com d'investigació i estadístiques, sense informar-ne prèviament els pacients. A més, en el full de consentiment informat, es va supeditar l'accés al servei públic a l'acceptació del tractament de dades per a finalitats comercials. I en el contracte d'encarregat subscrit amb la fundació només s'assenyalava que el laboratori es limitaria a recollir les dades necessàries per a enviar els dispositius als usuaris. D'altra banda, el denunciant va sol·licitar l'accés a informació sobre les finalitats dels tractaments duts a terme pel laboratori privat, però la fundació es va limitar a reenviar la seva sol·licitud al laboratori, el qual no va donar-hi resposta satisfactòria.
L'Autoritat va imposar una multa a la fundació per la comissió de 4 infraccions:
1) Infracció molt greu per vulneració del principi de lleialtat i transparència, i infracció molt greu per proporcionar informació parcial i errònia.
2) Infracció molt greu per manca de licitud o tractament il·legítim.
3) Infracció greu per manca de contracte d'encarregat.
4) infracció molt greu per manca d'atenció al dret d'accés.
26/06/2025
Documents:
Arxiu per inexistència d'infracció de la normativa de protecció de dades.
29/09/2025 14:30
-
Registre de publicació
IP 651/2024
La persona denunciant manifestava que el centre escolar on estava matriculada la seva filla havia canviat l'empresa gestora del menjador, la qual requeria la inscripció de l'infant i un progenitor en una aplicació que, segons ella, no permetia rebutjar el tractament de les dades. No obstant això, durant la fase d'informació prèvia s'ha comprovat que el registre a l'aplicació, així com la prestació del servei, es fonamenta en l'execució d'un contracte entre la persona usuària i l'empresa (art. 6.1.b RGPD) i que la política de privacitat de l'empresa compleix amb el deure d'informació (art. 13 RGPD). També s'ha verificat que es pot rebutjar el tractament de dades per a finalitats comercials i que s'especifiquen terminis de conservació. Per tot això, es resol arxivar les actuacions, en no constatar-se cap vulneració de la normativa de protecció de dades.
26/06/2025
Documents:
Sistema de recuperació de la contrasenya que permet visualitzar-la en text pla a l'usuari i al cap de sistemes d'informació.
11/08/2025 13:49
-
Registre de publicació
PS 111/2024
Una empresa pública que gestiona el servei de subministrament d'aigües municipal té a internet una oficina virtual d'usuaris del servei en la qual es preveia que, davant d'un oblit de contrasenya, s'enviava a l'usuari un correu electrònic amb el seu NIF i la contrasenya antiga en text pla. D'altra banda, el sistema d'emmagatzematge de les contrasenyes utilitza algoritme de xifratge (i, per tant, és reversible), i el cap que gestiona els sistemes d'informació té accés a les contrasenyes en clar dels usuaris. Això suposa un perill davant possibles atacants del sistema. Se sanciona l'entitat imputada amb una multa de 13.400 euros, com a responsable d'una infracció greu per no haver adoptat les mesures de seguretat necessàries per garantir la confidencialitat de les credencials dels seus usuaris.
21/05/2025
Documents:
Implantació de Google Workspace for Education en una escola pública de Primària.
31/10/2025 10:49
-
Registre de publicació
PS 77/2024
La persona denunciant es queixava que l'escola on estava matriculat el seu fill menor de 14 anys havia decidit implantar l'eina Google Workspace for Education (GWE) perquè la utilitzessin els alumnes, sense el seu consentiment ni informació suficient.
L'APDCAT resol declarar que l'escola ha comès cinc infraccions, referides a tractaments de dades dels alumnes de 5è i 6è de Primària i del personal docent, derivats de l'ús de GWE:
1) Infracció molt greu per vulneració del principi de lleialtat i transparència (les clàusules reguladores de Google estan disperses pel seu web) i infracció molt greu per proporcionar informació parcial i errònia.
2) Infracció greu per manca d'una anàlisi de riscos.
3) Infracció greu per manca d'avaluació d'impacte (AIPD).
4) Infracció greu per manca d'un contracte d'encarregat vàlid (Google s'atribueix el poder de decisió en qüestions essencials i pot modificar unilateralment les clàusules que regulen l'encàrrec).
5) Infracció greu per manca de participació del DPD en la decisió d'utilitzar GWE.
28/02/2025
Documents:
CONCEPTE DADA PERSONAL
TRANSFERÈNCIES INTERNACIONALS DADES
OBLIGACIONS
Encarregat tractament
Principi licitud
Computació núvol
DELEGAT PROTECCIÓ DADES
Societats mercantils
Educació
ENTITATS
Avaluació impacte
Centre educatiu
Dades menor
Missió en interès públic o exercici de poders públics
Registre d’activitats de tractament (RAT)
CESSIÓ O COMUNICACIÓ DE DADES
ÀMBIT SECTORIAL
PRINCIPIS
Centre educatiu
Consentiment
ENCARREGAT TRACTAMENT