L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona reclamant es queixava per la desatenció d'una sol·licitud d'exercici del dret d'accés que va presentar davant l'Ajuntament, sense que aquest últim li donés cap resposta. Al respecte, es declara que l'Ajuntament ha atès de forma extemporània la sol·licitud d'accés de la persona reclamant, sense entrar en altres consideracions respecte al fons, ja que, en el marc del present procediment de tutela de drets, l'Ajuntament ha lliurat la documentació a la persona reclamant.
La normativa de protecció de dades no s’oposa a l’accés de la persona reclamant, a les taules retributives i a les retribucions associades a cada lloc de treball, Pel que fa al complement de productivitat, en aquest cas, la normativa de protecció de dades no impedeix donar l’accés de forma individualitzada, d’acord amb la normativa en matèria de funció pública que preveu expressament que la quantitat que percebi cada funcionari ha de ser de coneixement públic per a la resta de funcionaris de la corporació. Pel que fa a les retribucions per hores extraordinàries es pot facilitar de manera pseudonimitzada, mitjançant un llistat, a part, substituint el nom i cognoms de les persones treballadores per un codi que no permeti identificar-les.
Demanar el motiu pel qual se sol·licita fer ús del servei de recollida de bolquers, és una dada excessiva. Si la base jurídica és el consentiment, en el moment de proporcionar la informació a la persona interessada, s'ha d'informar sobre el dret a retirar-lo en qualsevol moment.
S'arxiva la denúncia en tant que la comunicació del directori de personal pel part del Departament als delegats sindicals està emparat per la normativa de protecció de dades. No està comprés dins l'àmbit competencial de l'APDCAT el posterior ús o tractament de les dades que facin les organitzacions sindicals o els delegats sindicals.
S'arxiva la denúncia formulada contra una Fundació assistencial, en què la persona denunciant considerava que s'havien efectuat accessos indeguts a la seva història clínica compartida a Catalunya (HCCC), atès que es va constatar que la metge que hi va accedir ho va fer per assistir a la persona denunciant en una prova mèdica, i que la informació enregistrada sobre el centre d'accés en realitat corresponia a la informació sobre el centre a on aquesta metge prestava habitualment els seus serveis, que figurava en el seu perfil d'usuari.
El CTTI, en la seva condició d'encarregat del tractament, no va implementar les mesures de seguretat adequades per garantir les dades personals que tractava a compte del responsable del tractament (Dept EDU). Això, va permetre que un alumne, al moment de fer una preinscripció telemàtica a una determinada formació, li apareguessin en pantalla les dades d'un tercer.
Es resol sancionar amb una multa de 1.500 € l'empresa denunciada, encarregada de prestar el servei públic de l'oficina de turisme d'Alella, atès que des d'aquesta mateixa oficina es va enviar un correu electrònic, sense emprar la còpia oculta, a les persones que havien reservat una visita a un celler. Aquest fet va propiciar que les persones destinatàries del missatge poguessin veure l'adreça electrònica de la resta de persones destinatàries i que sabessin que aquestes també havien reservat la visita al celler, contravenint el principi de confidencialitat de les dades.
El responsable del tractament ha d'implementar les mesures adequades per garantir que les converses mantingudes entre el seu personal i les persones pacients, no puguin ser escoltades per terceres persones no autoritzades. És necessari efectuar una anàlisi de riscos per determinar les mesures de seguretat aplicables.
L'avaluació d'impacte relativa a la protecció de dades vinculada a la implantació del servei de recollida de residus porta a porta s'ha d'efectuar abans l'inici del tractament i ha d'avaluar els riscos que el tractament comporta per als drets i llibertats de les persones afectades.
A partir de la informació facilitada es pot concloure que l’empresa no estaria legitimada per instal·lar el sistema de vigilància pretès atès que implicaria la captació d’imatges de la via pública. En el cas que es limiti la captació d’imatges a l’interior de les instal·lacions que gestiona, per poder avaluar l’adequació a dret del tractament, aquesta Autoritat hauria de disposar d’una Memòria, en els termes de l’article 10 de la Instrucció 1/2009, on es descrigui de manera detallada les característiques del tractament que es vol dur a terme, es faci la ponderació necessària a efectes de poder aplicar l’habilitació jurídica basada en l’interès legítim (art. 6.1.f) RGPD) i que permeti avaluar la proporcionalitat de les dades que es tracten i l’abast dels tractaments que es pretenen realitzar, a banda dels altres extrems que requereix l’article 10 de la Instrucció 1/2009.