L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Als efectes de la normativa de protecció de dades, no sembla que un tercer, que no té la condició de persona afectada (art. 4.1 RGPD), hagi de tenir accés a informació sobre el tractament de dades que du a terme un responsable, en uns termes més amplis o amb major grau de detall del que podria tenir una persona que sí té aquesta condició. Entre d’altres, sobre l’accés a informació elaborada pel DPD i informació sobre procediments, protocols i instruccions de gestió de dades personals, no es desprèn de la normativa una obligació específica de donar accés a la documentació elaborada pel DPD ni, per extensió, a altra documentació relativa a procediments o protocols de gestió en matèria de protecció de dades, tenint en compte que la reclamant no seria persona afectada als efectes de la normativa de protecció de dades. Sobre l’accés a la informació relativa a les TID, tenint en compte la naturalesa, funcions i estructura organitzativa de l’entitat, aquesta podria indicar quines garanties o instruments dels previstos a l’RGPD (arts. 44 i seg.) habiliten les TID en funció del país de destinació, sense que sembli necessari ni exigible concretar amb major detall aquesta qüestió.
S'imputa a la Residència les següents infraccions: vulneració del principi de licitud per publicar imatges a les xarxes socials sense disposar d'un consentiment vàlid a tal efecte, vulneració de l'obligació prevista a l'article 30 de l'RGPD i vulneració del deure d'informació previst a l'article 13 de l'RGPD. Per contra, s'arxiven la resta de conductes també denunciades, en concret la queixa relativa a la manca d'elaboració d'una AIPD, atès que la Residència va iniciar l'activitat abans de l'entrada en vigor de l'RGPD, i en la mesura que no van quedar acreditats canvis substancials en els tractaments duts a terme per la Residència, i la queixa relativa al fet que els servidors del web de la Residència es trobarien fora de la Unió Europea, atès que s'ha pogut constatar que aquests es troben dins l'àmbit europeu.
Procedeix l'arxivament dels fets atès que, d'una banda, l'accés a l'HC3 de les persones usuàries del sistema de salut públic català només es pot dur a terme per part de persones que disposin d'un número de col·legiació, excloent per tant el personal auxiliar administratiu. Al respecte, pel que fa l'accés a la història clínica, la normativa sanitària habilita l'accés al personal auxiliar administratiu quan aquest es dugui a terme en l'exercici de les seves funcions. Així mateix, també s'arxiva el fet relatiu a l'ús d'eines de comunicació interna com ara el whatsapp atès que no ha quedat provat que el personal de l'HUVH empri l'esmentada aplicació com a eina de treball. Al fil de l'anterior, tampoc ha quedat provat que el RAT sigui inadequat atès que l'HUVH ha aportat l'esmentat document elaborat per l'ICS, així com un document intitulat "SubRAT" que s'actualitza anualment i que conté els tractaments de dades personals que duu a terme l'hospital. En aquest sentit, l'Autoritat també considera que l'AIPD elaborada, en relació amb el tractament de dades personals vinculat al SAP, recull els extrems previstos a l'article 35 RGPD. En darrer terme, s'arxiva el fet denunciat relatiu a la manca de formació del personal de l'HUVH, en la mesura en què l'entitat ha acreditat oferir cursos en matèria de privacitat regularment al seus treballadors.
S'amonesta un Ajuntament com a responsable de 4 infraccions: 1) per captar imatges de la via pública mitjançant les càmeres instal·lades a l'exterior de la microdeixalleria, de manera desproporcionada (es captava la via pública més enllà del que resulta imprescindible); 2) per utilitzar les imatges captades amb fins de seguretat per identificar la persona que no havia dipositat correctament uns residus; 3) Perquè el RAT no inclou tota la informació preceptiva i conté informació inexacta; i 4) Per no informar de forma completa a les persones afectades.
El centre educatiu o, si escau l’ajuntament del qual depengui la llar d’infants, és el responsable del tractament de les dades dels alumnes i dels pares, mentre que les empreses proveïdores de les aplicacions objecte de la consulta serien encarregats del tractament d’aquestes dades. La utilització de les aplicacions per a la comunicació amb els pares lligada a l’exercici de les funcions educatives i orientadores, pot trobar cobertura a l’article 6.1.e) en relació amb les previsions de la LOE. En el cas que el tractament es vulgui basar en el consentiment, per tal que aquest sigui vàlid, els pares han de disposar d’alternatives per a poder seguir l’agenda i les comunicacions de l’escola, sense que això els comporti un perjudici.
A partir del dia 25 de maig de 2018 no és exigible la creació dels fitxers de titularitat pública mitjançant una disposició de caràcter general, sinó que serà suficient amb la inclusió del tractament en el registre d’activitats del tractament que ha de portar cada responsable i encarregat del tractament.