L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es declara la comissió d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.c, ambdós de l'RGPD, per la vulneració del principi de minimització en incloure innecessàriament la dada del domicili en una notificació relacionada amb un expedient de constrenyiment.
L'entitat no informava correctament sobre el tractament d'imatges captades per les càmeres de videovigilància instal·lades dins l'edifici de l'hospital.
La Fundació PM va enviar dos correus electrònics a diversos destinataris amb adreces corporatives de l'administració pública, en els quals adjuntava documents sobre si era escaient o no el retorn d'una persona a un centre gestionat per la Fundació. Aquest fet va comportar que es revelessin als destinataris d’aquests missatges les dades personals i de salut d'aquesta persona, contingudes als documents adjuntats.
S'acorda arxivar la denúncia, atès que el disseny del sistema d'autenticació dels alumnes que accedeixen a la classe en línia era correcte. El tercer aliè a l'IES que hi va accedir emprant el nom i cognom d'una alumna, i després va difondre un vídeo de contingut sexual, es va servir de l'engany per confondre el professor. D'altra banda, l'accés a la classe en línia no va comportar cap filtració ni accés a dades personals.
La comunicació al Síndic de Greuges de Catalunya de l’expedient relatiu a una queixa presentada per una pacient sobre el tracte rebut per un metge col·legiat, tindria base jurídica suficient (art. 6.1, apartats a) i c) RGPD) en connexió amb els articles 78 i 79 de l’EAC i les previsions de la Llei 24/2009, tenint en compte la informació personal que, atesa la informació disponible, podria contenir-se en el dit expedient. La concurrència del consentiment explícit de la pròpia afectada habilitaria la comunicació al Síndic de Greuges de les seves dades de salut, ex. art. 9.2.a) RGPD, en connexió amb les bases jurídiques esmentades (art. 6.1 RGPD).
La normativa de protecció de dades no impediria conèixer el nombre total d’alts càrrecs que s’han sotmès al procés de regularització, i la informació sobre el lloc de treball d’alt càrrec. Tampoc no impediria conèixer quina ha estat la plaça obtinguda o el tipus de procés selectiu establert en cada cas. La ponderació seria favorable a l’accés, en relació específicament amb la informació retributiva reclamada. Pel que fa a la informació sobre quina relació laboral prèvia mantenien amb l'administració els afectats, els anys en què es va produir i en quina situació administrativa es trobaven si eren funcionaris (excedència, serveis especials o qualsevol tipologia prevista legalment, inclosa la situació de comissió de serveis posterior), l’accés requeriria la prèvia pseudonimització de les dades personals.
El tractament de les dades personals objecte de la consulta per a la realització per part d’una empresa externa a l’ajuntament d’un estudi sobre la bretxa digital de les persones majors de 60 anys del municipi, requerirà el previ consentiment de les persones interessades en els termes de l’article 7 de l’RGPD. Únicament es consideraria compatible amb aquest tractament posterior el tractament de les dades del padró municipal d’habitant relatives a la residència o domicili i la data de naixement de les persones interessades. Així mateix, un cop determinada la licitud del tractament i tenint en consideració el principi de minimització en quant a la informació necessària per a la finalitat pretesa, l’ajuntament hauria de formalitzar el corresponent acte jurídic d’encàrrec del tractament a l’empresa encarregada de realitzar l’estudi, d’acord amb l’article 28.3 RGPD.
S'estima la reclamació de tutela formulada per la persona reclamant contra la Direcció General de la Policia (DGP), atès que no va respondre la sol·licitud de supressió en el termini legalment establert. No cal efectuar un pronunciament sobre el fons en relació amb unes concretes diligències policials, atès que la DGP ha estimat fer efectiu el dret de supressió. No obstant això, es desestima respecte d'unes altres diligències policials, atès que la persona reclamant no va aportar la documentació que acreditaria la seva supressió.
S'estima parcialment la reclamació, referida a la desatenció d'una sol·licitud d'accés exercida per un pare respecte de la història clínica (HC) del seu fill menor, sobre uns diagnòstics psicosocials que el pare qüestionava. Després que el pare presentés una sol·licitud d'accés, l'ICS va modificar diversa informació vinculada a aquests diagnòstics, cosa que va impedir que el pare hi accedís. Pel que fa a la resta de documentació sol·licitada, es desestima la reclamació ja que, o bé no s'ha aportat cap prova indiciària que existeixi, o bé comporta l'elaboració d'una informació, cosa que excedeix el dret d'accés de protecció de dades.