L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix comunicar a la persona reclamant la informació que sol·licita, relativa als accessos a la seva història clínica, inclosa la identitat dels professionals que hi han accedit, en relació amb el període sol·licitat.
La normativa de protecció de dades no impedeix accedir a la informació relativa a les bases de la convocatòria, incloent-hi la informació relativa als requisits per poder participar i el procés de selecció, així com la plantilla o criteris de correcció de les proves. Tampoc hi ha d’haver cap problema en atorgar accés a la persona reclamant a les dades que li són pròpies. Ara bé, respecte de la informació que afecta tercers que han participat en el procés de selecció, i ateses les circumstàncies que concorren en el cas concret, la persona reclamant només té dret d’accés a la informació sol·licitada respecte de les persones que van superar la fase d’entrevista personal, per tractar-se d’informació rellevant per al control de l’actuació de l’òrgan de selecció i per a la defensa dels seus interessos.
La incorporació de l’adreça relativa al domicili en les notificacions que s’han de practicar a través de mitjans electrònics resultaria contrària al principi de minimització de dades. Cal en aquest cas adoptar les mesures escaients per garantir que el programa que s’empra per generar les notificacions no incorpora aquesta dada personal per defecte. També cal procedir al bloqueig d’aquesta dada en les notificacions electròniques ja practicades a una persona treballadora, atesa la seva sol·licitud de supressió.
Es resol amonestar l'Ajuntament de Tarragona atès que, en una trucada efectuada per la persona denunciant a la Guàrdia Urbana d'aquest Ajuntament, se li van recollir dades personals (nom, cognoms, número de DNI i veu) i no se'l va informar del contingut previst a l'article 13 RGPD. Així mateix, també s'atribueix a l'Ajuntament la vulneració del principi de confidencialitat atès que des de la Guàrdia Urbana es va informar a l'aquí denunciant que la "seva senyora" hauria trucat, des del mateix domicili, per denunciar els mateixos fets. En relació amb la referida recollida de dades personals, que la persona denunciant considera excessiva, procedeix arxivar els fets atès que, d'acord amb la normativa de procediment administratiu, quan un ciutadà presenta una denúncia, cal identificar-lo.
El Departament de Presidència, a través de la Comissió de Control del Pla de Pensions, no va subscriure el corresponent contracte d'encarregat del tractament amb les entitats gestores i dipositàries del pla de pensions.
Es constaten 4 accessos no justificats a l'HC3 de la persona denunciant per part de personal de la Corporació Sanitària Parc Taulí de Sabadell. Es resol amonestar la Corporació com a responsable d'una infracció prevista a l'article 83.5.a) en relació amb l'article 5.1.a), ambdós de l'RGPD, per 2 accessos indeguts a l'HC3 que no han prescrit, per la vulneració dels principis bàsics per al tractament, en concret el principi de licitud.
El Departament d'Acció Climàtica, Alimentació i Agenda Rural va notificar a la persona denunciant una resolució que anava adreçada a una tercera persona i en la qual hi figuraven dades personals. Es resol amonestar el Departament com a responsable d'una infracció prevista a l'article 83.5.a) en relació amb l'article 5.1.f), ambdós de l'RGPD, per la vulneració del principi de confidencialitat.
La persona es queixava que s'havia accedit indegudament a la seva història clínica. L'ICS ho reconeix i manifesta que ha adoptat mesures per evitar que es produeixin més accessos indeguts. Es dicta resolució definitiva imputant vulneració del principi de confidencialitat.
La persona reclamant no pot accedir al nom de les persones físiques titulars d’una llicència d’activitat d’habitatge d’ús turístic associada al número d’inscripció en el Registre de Turisme de Catalunya, però sí se li podria lliurar informació anonimitzada amb un nivell d’agregació territorial que garanteixi la no identificació de les persones afectades.
Es resol sancionar FMB S.A degut a què la manca d'implementació de mesures tècniques i organitzatives apropiades, li ha impedit localitzar l'expedient personal de la persona que va prestar serveis a l'empresa denunciada. Aquest fet, vulnera l'article 32.1 RGPD que disposa l'obligació del responsable del tractament de garantir la disponibilitat i seguretat de les dades personals.