L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol sancionar el Col·legi oficial d'infermeres i infermers de Barcelona atès que els fets imputats són constitutius d'una vulneració del principi de licitud, atesa la manca de base jurídica que empari la publicació, i se'l requereix perquè suprimeixi el nom i cognoms del denunciant del referit document, publicat al web institucional
L'enviament d'un correu electrònic a l'ara denunciant, relacionat amb els serveis del certificat electrònic, constitueix un tractament de dades compatible amb la finalitat inicial per a la qual es van recollir les dades, que va ser, precisament, per a la contractació del referit certificat . Així doncs, en la mesura que es compleixen les exigències de l'article 6.4 RGPD, procedeix l'arxiu de l'expedient.
El tractament dut a terme pel grup municipal denunciat és lícit perquè la informació difosa a les seves xarxes socials, en virtut de l'article 6.1 f) RGPD - sobre la satisfacció d'interessos legítims, com ho és la llibertat d'informació - havia estat publicada prèviament al Portal de Transparència de l'Ajuntament en compliment de l'article 57.1 LTC. A més cal tenir en compte que, si bé el denunciant també es queixava pel fet que no es publiqués tot el contingut del seu currículum, sinó que només es publiquessin determinats extractes, aquest fet no suposa una vulneració del principi d'exactitud de les dades, en la mesura que la informació publicada era actual i veraç.
A banda de les manifestacions de l'ara denunciant, no es disposa de cap altre element que permeti corroborar el caràcter indegut de l'accés a la història clínica objecte de denúncia. Per contra, tal com s'ha avançat, el CSI ha argumentat de manera raonada i suficient que l'accés es va dur a terme, per part d'una persona autoritzada, amb la finalitat d'actualitzar informació relativa a la vacunació contra la Covid-19 del seu personal, del qual havia format part la persona denunciant fins a dates recents, motiu pel qual procedeix l'arxiu de les actuacions de referència.
La normativa de protecció de dades no impedeix facilitar a la persona reclamant l’expedient de perllongament del servei corresponent a la persona que ocupa el lloc d’Intervenció, ometent la informació que contingui categories especials de dades, en concret dades de salut de la persona afectada.
La delegada de protecció de dades d’un ajuntament sol·licita que l’Autoritat emeti un dictamen sobre la viabilitat jurídica i la legitimitat de la gravació d’imatges de persones en el mar per al desenvolupament d’un software i posteriorment implantar un sistema consistent en la captació en temps real d’imatges de les platges (sense gravació) amb la finalitat que serveixi com a suport en tasques de salvament marítim. La normativa vigent no dona habilitació suficient a l’Ajuntament per implantar sistemes de videovigilància que comportin la captació d’imatges de persones físiques identificables a les zones de bany de les platges per a la finalitat plantejada a la consulta.
L’entitat que formula la consulta pot comunicar el nom i cognoms i el càrrec o categoria dels treballadors a què fa referència la consulta (d’agents d’estacions, interventors, maquinistes i personal d’oficines propis que presten els seus serveis en les estacions, trens i instal·lacions, en règim laboral) a petició de les persones usuàries del servei que han presentat una reclamació en contra seva. Aquesta comunicació trobaria habilitació en l’article 6.1.c) RGPD en relació amb l’LTC. En el cas de col·lectius que per motius de seguretat requereixin de protecció la comunicació hauria d’abastar només el número identificatiu professional. L’entitat hauria de comunicar a la persona afectada que s’han demanat les seves dades per part d’una persona usuària abans de facilitar-li la informació per tal que, si escau, pugui al·legar les circumstàncies personals en que fonamenta la seva oposició a l’accés. Això, llevat que prèviament se l’hagués informat sobre la possibilitat d’aquestes cessions, d’acord amb el que estableix l’article 70.4 RLTC.
S'imputa vulneració de l'article 12, relatiu a la transparència de la informació, per la publicació d'unes dades de contacte del DPD que no es corresponien amb les dades de la persona que efectivament exercia aquelles funcions. Això va comportar que la persona denunciant no pogués disposar d'una informació que l'Ajuntament, estava obligat a facilitar, constituint una infracció prevista a l'article 83.5.b.) RGPD en relació amb l'article 74.a LOPDGDD, 'el incumplimiento del principio de transparencia de la información'.
Infracció de mesures de seguretat en el marc d'una auditoria interna duta a terme per la Fundació: 1) en el procés d'assignació de les noves contrasenyes, no es va garantir que les credencials estiguessin sota el control exclusiu dels usuaris, ja que en la primera entrada el sistema no forçava el canvi per part de l'usuari. 2) Això va comportar que tampoc es pogués garantir saber de forma indubtable què, qui i quan realitzà determinada actuació en el sistema informàtic. Aquesta manca de seguretat es va evidenciar especialment quan els auditors van crear unes noves credencials "ex novo" per al tècnic de sistemes, i amb aquestes noves credencials van accedir al seu equip de treball per tal d'evitar riscos en el sistema.