L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol amonestar a l'Ajuntament de Cardedeu atès que no ha realitzat l'avaluació d'impacte de protecció de dades necessària, en relació al tractament de dades personals que duu a terme en el marc de la prestació del servei de recollida de residus porta a porta. Així mateix, també s'amonesta l'Ajuntament per no haver acreditat el compliment del seu deure d'informació, amb caràcter previ al moment en què les persones usuàries d'aquest servei faciliten llurs dades personals, per obtenir els elements de contenció.
En relació amb les dades publicades pel representant d'un partit polític en un ple de l'ajuntament, s'arxiva perquè no s'ha demostrat que les dades publicades s'hagin facilitat per part de l'Ajuntament. A més, les dades publicades són incorrectes, qüestió aquesta inidiciària que la persona que les hauria facilitat no estava vinculada a l'Ajuntament.
En relació amb la filtració de dades personals a través d'un grup de Whatsapp, aquest fet també s'arxiva atès que el fet que les fotografies dels quadrats (amb els torns i els horaris) s'hagin intercanviat en un grup de whatsapp no és indici suficient que permeti imputar una vulneració del principi de confidencialitat perquè no consta acreditat que les persones del grup siguin membres de la policia local de l'Ajuntament.
Es resol l'arxivament de la denúncia, atès que no es disposa d'elements o indicis suficients per provar que el COMB va enviar de manera il·lícita dades personals a una tercera persona no autoritzada per accedir-hi. Així mateix, també s'argumenta que el fet que dues entitats hagin nomenat la mateixa persona delegada de protecció de dades personals no pressuposa l'incompliment de l'RGPD.
S'estima la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant, sense que sigui necessari efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.
La persona reclamant interna en un centre penitenciari es queixa de que el centre no li facilita el document "Fitxa resum de l'intern". S'estima la reclamació, atès que el Departament de Justícia, Drets i Memòria no va respondre en termini a la sol·licitud de la persona reclamant. No s'efectua cap pronunciament sobre el fons, atès que el Departament de Justícia ha estimat la sol·licitud d'accés.
S'estima la reclamació de tutela del dret d'accés, atès que la persona reclamant va exercir la sol·licitud del dret d'accés que afectava al Departament de Salut, al CatSalut i a l'ICS, i que amb la resposta donada a la persona reclamant el dia 24/05/2023 no es pot considerar que les 3 entitats responsables hagin fet efectiu el dret d'accés exercit per la persona reclamant, ja que, si bé sí li van donar la informació sobre alguns dels tractaments de dades referits a la seva persona, no es va donar una resposta concreta sobre la resta de tractaments de dades llistats a la sol·licitud. Tampoc es va indicar a la persona reclamant els motius pels quals no es disposa d'informació sobre alguns tractaments.
La normativa de protecció de dades no permetria al delegat sindical accedir a una còpia de les nòmines del personal laboral afectat per la sol·licitud d’accés. No obstant això, sí que es pot comunicar la informació que consta a les nòmines de manera agregada, de manera que es garanteixi la seva no identificació.
Es resol l'arxivament de les actuacions ja que l'entitat denunciada ha justificat que l'accés controvertit a l'HC3 de la persona denunciant es va produir per una errada de tecleig, en el marc del projecte RedCov, en què s'havia de consultar determinats paràmetres en diverses històries clíniques.
Una persona treballadora d'un CAP va accedir a la història clínica de la persona denunciant sense justificació, el que constitueix una infracció del principi de confidencialitat. Per altra banda, la mateixa persona empleada va modificar l'adreça de correu electrònic de la persona denunciant, sense que l'entitat denunciada pogués acreditar una petició a tal efecte, de manera que durant un temps la persona denunciant va tenir associada una adreça electrònica incorrecta, el que constitueix una vulneració del principi d'exactitud.
El tractament de les dades necessàries per a la realització de les proves dels processos de selecció de personal, incloses les dades de salut dels participants, té com a base jurídica el compliment d’una missió en interès públic i el compliment d’obligacions específiques de les administracions competents establertes per la normativa de funció pública. La gravació de les proves psicotècniques requereix, a més de la seva previsió en les corresponents bases de les convocatòries (amb la concreció i determinació de les garanties específiques necessàries), la realització prèvia d’una AIPD. No sembla que la base jurídica del consentiment sigui adient per legitimar el tractament de les dades dels aspirants a un procés selectiu amb la finalitat descrita, atès que no es pot considerar que en el cas plantejat pogués haver-hi un consentiment realment lliure, ni la possibilitat d’establir mitjans alternatius que garantissin el principi d’igualtat que ha de regir els procediments selectius.