L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix facilitar a la persona reclamant l’expedient de perllongament del servei corresponent a la persona que ocupa el lloc d’Intervenció, ometent la informació que contingui categories especials de dades, en concret dades de salut de la persona afectada.
La delegada de protecció de dades d’un ajuntament sol·licita que l’Autoritat emeti un dictamen sobre la viabilitat jurídica i la legitimitat de la gravació d’imatges de persones en el mar per al desenvolupament d’un software i posteriorment implantar un sistema consistent en la captació en temps real d’imatges de les platges (sense gravació) amb la finalitat que serveixi com a suport en tasques de salvament marítim. La normativa vigent no dona habilitació suficient a l’Ajuntament per implantar sistemes de videovigilància que comportin la captació d’imatges de persones físiques identificables a les zones de bany de les platges per a la finalitat plantejada a la consulta.
L’entitat que formula la consulta pot comunicar el nom i cognoms i el càrrec o categoria dels treballadors a què fa referència la consulta (d’agents d’estacions, interventors, maquinistes i personal d’oficines propis que presten els seus serveis en les estacions, trens i instal·lacions, en règim laboral) a petició de les persones usuàries del servei que han presentat una reclamació en contra seva. Aquesta comunicació trobaria habilitació en l’article 6.1.c) RGPD en relació amb l’LTC. En el cas de col·lectius que per motius de seguretat requereixin de protecció la comunicació hauria d’abastar només el número identificatiu professional. L’entitat hauria de comunicar a la persona afectada que s’han demanat les seves dades per part d’una persona usuària abans de facilitar-li la informació per tal que, si escau, pugui al·legar les circumstàncies personals en que fonamenta la seva oposició a l’accés. Això, llevat que prèviament se l’hagués informat sobre la possibilitat d’aquestes cessions, d’acord amb el que estableix l’article 70.4 RLTC.
Es declara la pèrdua sobrevinguda de l'objecte de la reclamació de tutela formulada per la persona reclamant contra IDCQ Hospitales y Sanidad, SLU (Hospital Universitari Sagrat Cor), atès que l'entitat va facilitar el dret d'accés a la persona durant la tramitació del present procediment de tutela de drets.
S'imputa vulneració de l'article 12, relatiu a la transparència de la informació, per la publicació d'unes dades de contacte del DPD que no es corresponien amb les dades de la persona que efectivament exercia aquelles funcions. Això va comportar que la persona denunciant no pogués disposar d'una informació que l'Ajuntament, estava obligat a facilitar, constituint una infracció prevista a l'article 83.5.b.) RGPD en relació amb l'article 74.a LOPDGDD, 'el incumplimiento del principio de transparencia de la información'.
La persona reclamant va sol·licitar la supressió de les seves dades vinculades a unes activitats formatives, i també demanava que es comuniqués a eventuals tercers destinataris la supressió de les referides dades. Es desestima la reclamació de tutela formulada per la persona reclamant contra l'Institut de Seguretat Pública de Catalunya, llevat pel que respecta a la comunicació de la supressió de les dades als eventuals destinataris als que les hagués comunicat prèviament. Es requereix a l'ISPC perquè comuniqui les dades que han estat suprimides a cadascun dels tercers destinataris als que s'haguessin facilitat prèviament, o bé, informi a la persona reclamant que les dades suprimides no havien estat comunicades a tercers, i en el mateix termini de 10 dies acrediti a l'Autoritat que ha donat compliment a aquest requeriment.
Es declara extemporània la resolució de la DGP que estima la sol·licitud de supressió de les dades personals contingudes al fitxer SIP de la persona reclamant, sense entrar en altres consideracions respecte el fons ja que la DGP ha resolt suprimir les seves dades personals i es requereix la DGP per tal que acrediti haver fet la notificació de la resolució estimatòria a la dita persona.
No escau la supressió quan no concorre cap de les circumstàncies previstes a l'article 17.1 de l'RGPD. Així mateix, quan el tractament és necessari per al compliment d'una obligació legal (art. 17.3.b RGPD) o per defensar-se de reclamacions (art. 17.3.e RGPD), tampoc escau la supressió.
Infracció de mesures de seguretat en el marc d'una auditoria interna duta a terme per la Fundació: 1) en el procés d'assignació de les noves contrasenyes, no es va garantir que les credencials estiguessin sota el control exclusiu dels usuaris, ja que en la primera entrada el sistema no forçava el canvi per part de l'usuari. 2) Això va comportar que tampoc es pogués garantir saber de forma indubtable què, qui i quan realitzà determinada actuació en el sistema informàtic. Aquesta manca de seguretat es va evidenciar especialment quan els auditors van crear unes noves credencials "ex novo" per al tècnic de sistemes, i amb aquestes noves credencials van accedir al seu equip de treball per tal d'evitar riscos en el sistema.