L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol declarar que l'Ajuntament de Barcelona va vulnerar el principi de licitud (art. 5.1.a RGPD) atès que va tractar les dades personals d'agents de la Guàrdia Urbana (número de telèfon personal) per enviar comunicacions "no formals" per mitjà d'un grup de WhatsApp. A més, tots els participants del grup van poder accedir al número de mòbil privat, foto de perfil i nom d'usuaris de la resta de membres. Aquesta actuació també va suposar la vulneració de l'article 25 RGPD, atès que no es van adoptar mesures per protegir les dades des del disseny.
L'ajuntament va arxivar documentació sobre un procediment disciplinari dins d’una carpeta electrònica relativa a un altre assumpte, a la qual tenien accés altres treballadors.
En atenció a la finalitat pretesa en el present cas amb la utilització de càmeres frontals exteriors en els trens, consistent en garantir la seguretat del trànsit ferroviari i la conservació de la infraestructura, es considera que la seva utilització no hauria de comportar la captació d’imatges de persones físiques o d’altra informació que les faci identificables, per la qual cosa l’entitat hauria d’adoptar els mecanismes escaients per evitar aquesta captació en aquells espais, com les estacions i zones adjacents, en què resulti probable.
Procedeix l'arxivament dels fets atès que, d'una banda, l'accés a l'HC3 de les persones usuàries del sistema de salut públic català només es pot dur a terme per part de persones que disposin d'un número de col·legiació, excloent per tant el personal auxiliar administratiu. Al respecte, pel que fa l'accés a la història clínica, la normativa sanitària habilita l'accés al personal auxiliar administratiu quan aquest es dugui a terme en l'exercici de les seves funcions. Així mateix, també s'arxiva el fet relatiu a l'ús d'eines de comunicació interna com ara el whatsapp atès que no ha quedat provat que el personal de l'HUVH empri l'esmentada aplicació com a eina de treball. Al fil de l'anterior, tampoc ha quedat provat que el RAT sigui inadequat atès que l'HUVH ha aportat l'esmentat document elaborat per l'ICS, així com un document intitulat "SubRAT" que s'actualitza anualment i que conté els tractaments de dades personals que duu a terme l'hospital. En aquest sentit, l'Autoritat també considera que l'AIPD elaborada, en relació amb el tractament de dades personals vinculat al SAP, recull els extrems previstos a l'article 35 RGPD. En darrer terme, s'arxiva el fet denunciat relatiu a la manca de formació del personal de l'HUVH, en la mesura en què l'entitat ha acreditat oferir cursos en matèria de privacitat regularment al seus treballadors.
Un ciutadà accedeix, a través de la seva carpeta personal a la seu electrònica de l'Ajuntament, a la documentació d'una tercera persona en relació a un expedient que res té a veure amb la seva denúncia. S'imputa la vulneració del principi de confidencialitat. També consta acreditada la infracció de l'art. 25 RGPD, de mesures tècniques des del disseny i per defecte, si bé, efectuat concurs medial, només s'imputa per la infracció més greu.
L'Ajuntament practicava les notificacions als ciutadans del municipi sense aplicar cap mesura de protecció que impedís l'accés al contingut del document a notificar, de manera que l'agent notificador podia accedir al contingut íntegre de la notificació. Així mateix, per acreditar la pràctica de la notificació facilitava a l'agent notificador una còpia del document a notificar que havia de signar el destinatari.
El centre educatiu o, si escau l’ajuntament del qual depengui la llar d’infants, és el responsable del tractament de les dades dels alumnes i dels pares, mentre que les empreses proveïdores de les aplicacions objecte de la consulta serien encarregats del tractament d’aquestes dades. La utilització de les aplicacions per a la comunicació amb els pares lligada a l’exercici de les funcions educatives i orientadores, pot trobar cobertura a l’article 6.1.e) en relació amb les previsions de la LOE. En el cas que el tractament es vulgui basar en el consentiment, per tal que aquest sigui vàlid, els pares han de disposar d’alternatives per a poder seguir l’agenda i les comunicacions de l’escola, sense que això els comporti un perjudici.