L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'amonesta l'Ajuntament com a responsable d'una infracció molt greu per haver tractat dades personals dels agents de la seva Policia Local obtingudes a través de la instal·lació de receptors de geolocalització (GPS) en diversos vehicles policials, sense haver-los informat prèviament dels extrems previstos a l'article 13 de l'RGPD, entre ells, la finalitat del tractament (art. 13.1.c RGPD). I en particular, pel que fa a aquesta darrera informació (art. 13.1.c RGPD), sobre la possibilitat de tractar les dades obtingudes per a l'exercici de les funcions de control dels treballadors (procediment disciplinari). En l'acord d'iniciació s'arxivà la part de la denúncia referent a l'ús de gravacions a través de càmeres de videovigilància per control laboral, sense haver-ne informat prèviament, atès que no consta que a través d'aquest sistema l'Ajuntament hagi tractat dades personals de l'agent denunciant per aquesta finalitat.
La persona reclamant no pot accedir a la informació personal dels membres de la Policia Local, relativa a les proves de capacitació per tal de poder portar armes de foc que se’ls ha practicat durant el període de temps a què fa referència la reclamació. Caldria facilitar la informació agregada respecte els resultats d’apte o no apte obtinguts de cada període, tal com sembla que ja ha fet l’Ajuntament. La normativa de protecció de dades no impediria l’accés al nom i cognoms i càrrec o categoria de les persones que hagin certificat les diferents proves de capacitació.
S'arxiva la denúncia en relació amb el formulari emprat per l'escola per informar a les famílies de quines seran les aplicacions informàtiques que es faran servir en cas d'aquells alumnes confinats que hagin de seguir les classes telemàticament, perquè es considera que és conforme a la normativa de protecció de dades.
Les persones que prestaven servei en una residència de gent gran tenien que apuntar, en un llistat ubicat en el mostrador d'entrada, entre d'altres, el seu nom, cognoms, telèfon, DNI i temperatura corporal; per la qual cosa cadascuna d'aquestes persones podia conèixer les dades de la resta hi figuraven, fet que vulnera el principi de confidencialitat.
També s'analitza breument que el fet que la residència recollís la temperatura corporal de les persones treballadores era una actuació conforme a la normativa de protecció de dades.
Els formularis facilitats per l'entitat en què es recollien dades personals, no contenien la totalitat dels extrems previstos per l'article 13 RGPD. En el si del procediment també es van arxiver altres fets que havien estat objecte de denúncia, els més rellevants:
a) que la fundació no tenia implementades mesures de seguretat en el tractament de dades en formats no automatitzats. S'arxiva perquè no hi ha cap prova que acrediti, ni tan sols indiciàriament, aquest fet. Presumpció d'innocència.
b) Comunicació de dades per part de la Fundació a d'altres empreses. Pel que fa a unes de les empreses, s'arxivà per manca de prova, presumpció d'innocència. Pel que fa a la segona empresa, no hi ha cap comunicació en la mesura que existeix un contracte d'encarregat del tractament entre la Fundació i la citada entitat.
Les opinions de l’alumnat sobre el professorat, recollides en el camp de text lliure de les enquestes d’avaluació de l’actuació docent del professorat, tenen la consideració de dades personals dels professorat avaluat. L’accés als informes individuals d’avaluació del professorat per part de la resta de professorat que imparteix la mateixa assignatura en altres titulacions de la mateixa universitat s’ha de considerar un tractament excessiu en relació amb les finalitats d’avaluació i millora de l’actuació docent. La comunicació es podria efectuar amb la prèvia anonimització.
S'amonesta l'Ajuntament de Tordera atès que el fet de publicar les qualificacions finals obtingudes per aspirants suspesos en un procés de selecció constitueix una infracció consistent en la vulneració del principi de licitud. Així mateix, la difusió al web municipal de la llista d'aspirants exclosos del procés de selecció durant un temps més enllà de l'estrictament necessari, constitueix una infracció del principi de limitació del termini de conservació. I, en darrer terme, la difusió dels noms i cognoms dels aspirants i les quatre darreres xifres del seu DNI i la lletra, suposa la vulneració del principi de minimització de dades, atès que la LOPDGDD no preveu que, en la publicació d'actes administratius, s'hagi d'afegir la lletra del DNI.
La persona reclamant va sol·licitar a l'ICS l'accés a la seva història clínica i a la seva traçabilitat. l'ICS va respondre un cop havia transcorregut el termini d'un mes previst a l'art. 15 de l'RGPD, lliurant-li una còpia de la història clínica, però no de la informació referent a la traçabilitat. En la resolució de l'Autoritat es declara que l'ICS va respondre extemporàniament la sol·licitud d'accés, i pel que fa a la informació no lliurada referent a la traçabilitat, s'estima parcialment la reclamació, pel que fa únicament a la informació referent a les comunicacions de dades de la història clínica (incloses les eventuals comunicacions de dades a la història clínica compartida a Catalunya), atès que la resposta de l'ICS no resultava prou clara per entendre que li havia informat sobre aquest extrem. I es desestima la reclamació pel que fa a la resta d'informació inclosa en el concepte "traçabilitat", per tractar-se d'informació que excedeix la vessant material del dret d'accés de protecció de dades.