L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
L'article 12.3 RGPD estableix que la informació ha de facilitar-se pel canal que hagi indicat l'interessat. Per tant, malgrat que l'entitat reclamada va estimar el dret d'accés presencial del reclamant, tenint en compte que aquest demanava la informació per mitjans electrònics, procedeix estimar al present reclamació. Tanmateix, en el marc d'aquest procediment, l'entitat reclamada ha acreditat haver facilitat la informació demanada a la persona reclamant, per mitjà del correu electrònic de 08/04/2022, i consultat l'ara reclamant al respecte, res ha oposat en contra de considerar satisfet el seu dret d'accés. S'estima la reclamació atès que l'entitat reclamada va procedir al lliurament de la informació demanada en un format diferent al sol·licitat.
La persona reclamant va sol·licitar la supressió de les seves dades vinculades a unes activitats formatives, i també demanava que es comuniqués a eventuals tercers destinataris la supressió de les referides dades. Es desestima la reclamació de tutela formulada per la persona reclamant contra l'Institut de Seguretat Pública de Catalunya, llevat pel que respecta a la comunicació de la supressió de les dades als eventuals destinataris als que les hagués comunicat prèviament. Es requereix a l'ISPC perquè comuniqui les dades que han estat suprimides a cadascun dels tercers destinataris als que s'haguessin facilitat prèviament, o bé, informi a la persona reclamant que les dades suprimides no havien estat comunicades a tercers, i en el mateix termini de 10 dies acrediti a l'Autoritat que ha donat compliment a aquest requeriment.
Infracció de mesures de seguretat en el marc d'una auditoria interna duta a terme per la Fundació: 1) en el procés d'assignació de les noves contrasenyes, no es va garantir que les credencials estiguessin sota el control exclusiu dels usuaris, ja que en la primera entrada el sistema no forçava el canvi per part de l'usuari. 2) Això va comportar que tampoc es pogués garantir saber de forma indubtable què, qui i quan realitzà determinada actuació en el sistema informàtic. Aquesta manca de seguretat es va evidenciar especialment quan els auditors van crear unes noves credencials "ex novo" per al tècnic de sistemes, i amb aquestes noves credencials van accedir al seu equip de treball per tal d'evitar riscos en el sistema.
S'imputa vulneració de l'article 12, relatiu a la transparència de la informació, per la publicació d'unes dades de contacte del DPD que no es corresponien amb les dades de la persona que efectivament exercia aquelles funcions. Això va comportar que la persona denunciant no pogués disposar d'una informació que l'Ajuntament, estava obligat a facilitar, constituint una infracció prevista a l'article 83.5.b.) RGPD en relació amb l'article 74.a LOPDGDD, 'el incumplimiento del principio de transparencia de la información'.
Es declara la pèrdua sobrevinguda de l'objecte de la reclamació de tutela formulada per la persona reclamant contra IDCQ Hospitales y Sanidad, SLU (Hospital Universitari Sagrat Cor), atès que l'entitat va facilitar el dret d'accés a la persona durant la tramitació del present procediment de tutela de drets.
Es declara extemporània la resolució de la DGP que estima la sol·licitud de supressió de les dades personals contingudes al fitxer SIP de la persona reclamant, sense entrar en altres consideracions respecte el fons ja que la DGP ha resolt suprimir les seves dades personals i es requereix la DGP per tal que acrediti haver fet la notificació de la resolució estimatòria a la dita persona.
L’Ajuntament no compta amb habilitació suficient per instal·lar un sistema de videovigilància en un espai delimitat que forma part de la via pública amb finalitat de controlar i, si escau, exercir la potestat sancionadora respecte de conductes incíviques relatives al dipòsit de residus a les àrees de recollida. En cas d’instal·lar-se per controlar actes vandàlics contra la seguretat pública, es podria considerar legítim si el duu a terme la policia local d’acord amb l’obtenció de la prèvia autorització de la Direcció General d’Administració de Seguretat.
L’accés a les al·legacions que s’han presentat en el tràmit d’informació pública del procediment d’aprovació del POUM i als informes que s’han emès durant aquest procediment, s’ha de fer prèvia anonimització de les dades de les persones físiques (llevat de les dades merament identificatives dels empleats públics que hi puguin aparèixer). La normativa de protecció de dades personals no impedeix l’accés a la informació relativa a la classificació, la qualificació urbanística i l’aprofitament urbanístic de les finques sobre les quals se sol·licita aquesta informació.
El tractament de dades de salut del personal de conducció o amb funcions relacionades amb la seguretat del trànsit dels serveis de transport ferroviaris per detectar, per part de l’empresa, el consum d’alcohol o drogues, a l’inici o durant la jornada laboral, compta amb habilitació en els articles 6.1.c) i 9.2.h) de l’RGPD en relació amb la legislació ferroviària. En el cas del personal que desplega aquestes funcions en els serveis de transport de la xarxa d’autobusos o del telefèric, la normativa de protecció de dades no impedeix els controls periòdics del consum de les esmentades substàncies, quan ho estableixi, de manera justificada, el servei de prevenció de riscos laborals, en la mesura que pot constituir un risc per a terceres persones.