L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Vigilant municipal fotografia un vehicle amb què presumptament es comet una infracció de trànsit, en què es visualitza la imatge de la persona asseguda a dins.
La persona denunciant explicava que l'Ajuntament de Lleida hauria facilitat a una tercera persona (el nou adquirent d'una llicència) el document relatiu a la "Declaració conjunta de canvi de titularitat d'activitats", que contindria les dades personals (nom, cognoms, adreça i número de DNI) del denunciant. Tanmateix, atès que durant la fase d'informació prèvia no s'ha pogut acreditar que la comunicació de dades personals sigui atribuïble a l'Ajuntament de Lleida, tal com manifestava el denunciant, procedeix arxivar la present denúncia.
Es constata un accés indegut a HC per part d'una persona professional sanitària, fet que vulnera el principi de confidencialitat de les dades. Responsabilitat de l'entitat per actes materialment comesos pel seu personal
Un inspector d'Educació va incorporar informació innecessària relativa a la vida laboral de la persona denunciant en l'informe que va emetre per donar resposta a una petició del Síndic de Greuges, actuació amb la qual va vulnerar el principi de minimització, atès que va donar més informació de la necessària per la finalitat pretesa.
Indra, en la seva condició de sotsencarregat del tractament, no va aplicar les mesures de seguretat de nivell bàsic exigides per SocMobilitat en el contracte d'encarregat de tractament, per garantir un nivell de seguretat adequat al risc (tendents a evitar que a aquestes dades hi poguessin accedir persones no autoritzades), atès que en configurar el portal d'accés a la T-Mobilitat no es va modificar la contrasenya que per defecte assigna el fabricant de la infraestrcutura "Liferay" a l'adminstrador, de tal manera que l'accés quedava obert, i al seu torn, accessible a tercers.
SocMobilitat (encarregat del tractament) no va determinar de manera adequada les mesures de seguretat apropiades per garantir un nivell de seguretat adequat al risc del tractament de dades encomanat a Indra (sotsencarregat del tractament) per a la implementació i gestió de la targeta T-Mobilitat, en tant que en el contracte d'encàrrec de tractament l'entitat SocMobilitat va indicar a Indra que les mesures de seguretat que havia d'implementar per a la prestació dels serveis objecte d'encàrrec eren de nivell bàsic, és a dir que va categoritzar el sistema com a bàsic, quan d'acord amb les circumstàncies concurrents en el tractament objecte d'encàrrec, el nivell bàsic no era suficient.
La denunciant es queixava que l'Ajuntament havia facilitat a un veí del seu edifici un document que contenia les seves dades personals. També denuncia a l'advocat del veí, per haver exhibit dit document en una vista oral d'un judici. Pel que fa a aquest segon fet, es va donar trasllat a l'AEPD. Pel que fa al fet denunciat contra l'Ajuntament, es prepara RA en base a l'article 48 i 52 LJCA, sobre l'obligació de traslladar una còpia de l'expedient administratiu al jutjat per part de l'Administració demandada. Atès que el seu veí havia interposat un recurs judicial, va tenir accès a l'expedient per formular demanda. Aquest accès, també està previst a l'article 236 quinquies LOPJ.
La denunciant es queixava que l'Ajuntament havien revelat les seves dades a un tercer (persona que regentava un bar i que l'havia trucat per avisar-la que faria una festa). No aporta cap prova o indicis per acreditar que efectivament es va revelar el seu telèfon mòbil. Es dicta RA per falta de proves que acreditin la comunicació del telèfon mòbil de la denunciant a tercera persona. A més, tant l'Ajuntament com la persona que la va trucar, neguen que fos l'Ajuntament qui li havia facilitat la dada.
No es disposa de cap indici que permeti sostenir que l'Ajuntament denunciat és el titular del compte de correu electrònic des del qual es va enviar un missatge a determinats agents locals, criticant comportaments sindicals. Al respecte, tampoc es pertinent sostenir que l'Ajuntament ha filtrat la informació relativa a les adreces electròniques corporatives dels membres del cos de Policia, atès que, a banda de les persones treballadores de l'Ajuntament que, òbviament poden tenir accés a les dites adreces corporatives, no es pot descartar que terceres persones hagin obtingut aquesta informació pels seus propis mitjans (p.ex, persones que hagin prestat serveis a l'Ajuntament, o ciutadanes que s'hagin relacionat amb aquests empleats públics).
Es resol arxivar la present denúncia atès que l'Ajuntament denunciat i, en concret, l'Inspector en Cap de la Policia Local, va incloure referències a les dades de salut de la persona denunciant - que ostenta la condició d'agent local - atès que aquestes eren necessàries per a dirimir la conveniència d'iniciar un expedient disciplinari contra la seva persona, per un presumpte abandonament de servei per motius de salut. Així doncs, aquesta Autoritat conclou que el tractament de dades personals controvertit restava emparat per l'article 6.1 e) - tractament realitzat en l'exercici de poders públics - i que hi concorrien les circumstàncies previstes als apartats f) i g) de l'article 9.2 RGPD, que aixequen la prohibició de tractar dades de salut de l'article 9.1 RGPD.