L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades personals habilitaria, amb la finalitat de gestió tributària, la comunicació de dades amb transcendència tributària a l’Administració tributària a través d’un procediment per sol·licitar la informació, en cada cas concret, quan faci referència a una persona o conjunt de persones concretes, com ara la creació d’una bústia de correu específica on adreçar les sol·licituds. En canvi, a manca d’una disposició general que ho estableixi, la normativa no habilitaria el subministrament periòdic d’informació. En els casos en què la normativa de protecció habilita la comunicació de dades, no cal informar a les persones afectades per la comunicació a l’Administració tributària, d’acord amb el que s’exposa. Quant a la comunicació amb finalitat de millorar les prediccions i estudis de mercat anuals, i de complementar el sistema d’informació sobre el mercat, caldrà estar a les previsions de la disposició addicional del Codi tributari de Catalunya.
Des de la perspectiva de la normativa de protecció de dades, lliurar la informació relativa als casos atesos a les unitats de trànsit, agregats per sexe i edat “any a any, i no per rangs d’edat”, ofereix garanties suficients per poder-se considerar una anonimització eficaç de les dades de salut de les persones afectades.
S'imputa vulneració del principi de licitud per manca de base jurídica de l'article 6.1 RGPD. L'Institut va enviar un comunicat amb document adjunt, a tots els progenitors, informant sobre les assignatures optatives que cursaran els alumnes, identificats amb el número de DNI, i amb la finalitat que comprin el material escolar. El número de DNI és dada personal, tot i ser tractada aïlladament.
L'agent de la policia local amb TIP (...) va remetre documentació al departament de recursos humans de l'Ajuntament, entre la qual hi figurava un escrit on es feia referència a la salut i els motius de la baixa mèdica (depressió o ansietat) de la persona denunciant. L'agent va manifestar al dit escrit haver tingut accés a informació confidencial perquè era responsable administratiu de rebre les baixes, i perquè la persona denunciant va enviar per error la part personal del document mèdic i no la corresponent a l'empresa. Vulneració del principi de confidencialitat art. 5.1.f) RGPD (infracció molt greu a l'article 72.1.i) de l'LOPDGDD).
La persona denunciant es queixava pel fet que determinats agents de la GU li van demanar que s'identifiqués, sense que aquesta actuació - segons la persona denunciant - estigués habilitada per cap norma. Tanmateix, l'informe policial aportat per l'Ajuntament, subscrit per tres agents, descriu els fets ocorreguts i justifica la identificació per a la prevenció d'un conflicte major a la via pública. Al respecte, escau concloure que el tractament fou necessari per a l'exercici de poders públics conferits al responsable del tractament (art. 6.1 e) RGPD) en consonància amb la Llei orgànica de protecció de la seguretat ciutadana, i per tant procedeix l'arxiu de la denúncia. La persona denunciant també es queixava pel fet que l'Ajuntament de Lleida disposa d'un registre d'activistes socials. No obstant això, davant la manca d'indicis suficients, i donat que l'entitat denunciada ha negat aquests fets, es procedeix al seu arxiu.
L'Agència de Salut Pública de Catalunya va comunicar als Serveis de Prevenció de Riscos Laborals de l'empresa càrnica on presta serveis l'aquí denunciant, la relació del personal que no disposava de la pauta completa de vacunació contra la Covid-19. Aquesta comunicació es va dur a terme en el marc d'una campanya de vacunació del Departament de Salut. Al respecte, la referida comunicació no contravé la normativa de protecció de dades, en la mesura en què, tant la normativa de prevenció de riscos laborals, com la normativa de salut pública, faculten les autoritats sanitàries per establir mecanismes de col·laboració amb els serveis de prevenció de riscos laborals d'empreses privades.
Enviament d'un correu electrònic que incloïa dades de salut de menors d'edat.
La publicació en obert d'una acta del Ple, amb més dades de les necessàries i la seva publicació durant més temps de l'exigible és constitutiu d'una vulneració del principi de minimització i del principi de limitació del termini de conservació.
La instal·lació d’un sistema de videovigilància a l’interior de les aules de les llars d’infants municipals podria resultar proporcionada davant indicis raonables de la possible comissió d’un fet il·lícit greu per part d’una persona treballadora vers algun dels infants, de manera excepcional i limitada en el temps, i sempre que s’informi en els termes de l’article 89 de l’LOPDGDD. El responsable però no tindria suficient legitimació per instal·lar aquest sistema per tal que els progenitors i/o tutors legals puguin visualitzar en directe imatges sobre les activitats que hi realitzen els seus fills.
El regidor té dret a accedir als quadrants de vacances de la Policia Local dels anys 2021 i 2022, si bé prèvia pseudonimització de les dades personals, atès que lliurar la informació d’aquesta manera resultaria a priori suficient per assolir la finalitat de control pretesa.