L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
S'arxiva la denúncia en relació amb el formulari emprat per l'escola per informar a les famílies de quines seran les aplicacions informàtiques que es faran servir en cas d'aquells alumnes confinats que hagin de seguir les classes telemàticament, perquè es considera que és conforme a la normativa de protecció de dades.
Els formularis facilitats per l'entitat en què es recollien dades personals, no contenien la totalitat dels extrems previstos per l'article 13 RGPD. En el si del procediment també es van arxiver altres fets que havien estat objecte de denúncia, els més rellevants:
a) que la fundació no tenia implementades mesures de seguretat en el tractament de dades en formats no automatitzats. S'arxiva perquè no hi ha cap prova que acrediti, ni tan sols indiciàriament, aquest fet. Presumpció d'innocència.
b) Comunicació de dades per part de la Fundació a d'altres empreses. Pel que fa a unes de les empreses, s'arxivà per manca de prova, presumpció d'innocència. Pel que fa a la segona empresa, no hi ha cap comunicació en la mesura que existeix un contracte d'encarregat del tractament entre la Fundació i la citada entitat.
Les persones que prestaven servei en una residència de gent gran tenien que apuntar, en un llistat ubicat en el mostrador d'entrada, entre d'altres, el seu nom, cognoms, telèfon, DNI i temperatura corporal; per la qual cosa cadascuna d'aquestes persones podia conèixer les dades de la resta hi figuraven, fet que vulnera el principi de confidencialitat.
També s'analitza breument que el fet que la residència recollís la temperatura corporal de les persones treballadores era una actuació conforme a la normativa de protecció de dades.
Les opinions de l’alumnat sobre el professorat, recollides en el camp de text lliure de les enquestes d’avaluació de l’actuació docent del professorat, tenen la consideració de dades personals dels professorat avaluat. L’accés als informes individuals d’avaluació del professorat per part de la resta de professorat que imparteix la mateixa assignatura en altres titulacions de la mateixa universitat s’ha de considerar un tractament excessiu en relació amb les finalitats d’avaluació i millora de l’actuació docent. La comunicació es podria efectuar amb la prèvia anonimització.
El reclamant demanava accés a dades com a treballador de l'ICS. ICS contesta fora de termini però el reclamant es considera satisfet tal i com ho manifesta en escrit presentat a l'Autoritat. Es dicta resolució que declara extemporànea la resposta de l'ICS.
Tenint en compte que l'Institut Pere Mata ha informat que les dades personals de la persona aquí reclamant, objecte de les seves sol·licituds d'oposició, han estat suprimides i, per tant, que no són objecte de tractament, no concorre, en aquest cas, el pressupòsit necessari per poder fer efectiu aquest dret, que és que el responsable estigui tractant dades de la persona que s'oposa a aquest tractament. En aquests termes, procedeix desestimar la present reclamació de tutela del dret, atès que l'Institut Pere Mata va atendre les peticions de les quals deriva aquest procediment, quan va informar a l'ara reclamant de la supressió de les seves dades personals amb data 10/12/2021.
La persona reclamant va sol·licitar a l'ICS l'accés a la seva història clínica i a la seva traçabilitat. l'ICS va respondre un cop havia transcorregut el termini d'un mes previst a l'art. 15 de l'RGPD, lliurant-li una còpia de la història clínica, però no de la informació referent a la traçabilitat. En la resolució de l'Autoritat es declara que l'ICS va respondre extemporàniament la sol·licitud d'accés, i pel que fa a la informació no lliurada referent a la traçabilitat, s'estima parcialment la reclamació, pel que fa únicament a la informació referent a les comunicacions de dades de la història clínica (incloses les eventuals comunicacions de dades a la història clínica compartida a Catalunya), atès que la resposta de l'ICS no resultava prou clara per entendre que li havia informat sobre aquest extrem. I es desestima la reclamació pel que fa a la resta d'informació inclosa en el concepte "traçabilitat", per tractar-se d'informació que excedeix la vessant material del dret d'accés de protecció de dades.
Es dicta Resolució, directament atès que no han presentat al·legacions contra l'AI. S'imputa vulneració de mesures de seguretat, mecanisme d'autenticació degut a accessos a dades dels pacients a través de diversos URLS de l'hospital únicament introduint el DNI sense cap altre mesura de control d'accés. Van al·legar que erròneament havien publicat un 'entorn de prova' i que ja han despublicat aquestes URLS.
S'amonesta l'Ajuntament de Tordera atès que el fet de publicar les qualificacions finals obtingudes per aspirants suspesos en un procés de selecció constitueix una infracció consistent en la vulneració del principi de licitud. Així mateix, la difusió al web municipal de la llista d'aspirants exclosos del procés de selecció durant un temps més enllà de l'estrictament necessari, constitueix una infracció del principi de limitació del termini de conservació. I, en darrer terme, la difusió dels noms i cognoms dels aspirants i les quatre darreres xifres del seu DNI i la lletra, suposa la vulneració del principi de minimització de dades, atès que la LOPDGDD no preveu que, en la publicació d'actes administratius, s'hagi d'afegir la lletra del DNI.
La normativa de protecció de dades no impedeix l’accés de la persona reclamant a la informació sobre el desglossament de les quanties destinades a cada grup i sobre els diferents conceptes de despesa realitzada pels grups durant el període sol·licitat, als efectes de controlar la destinació dels fons que reben. Tampoc impedeix l’accés a les factures justificatives de les despeses que continguin dades personals dels regidors i regidores, així com de terceres persones físiques amb qui hagin contractat, tot i que caldria eliminar dels documents justificatius la informació que permeti analitzar o establir certs aspectes relatius a la vida personal de la persona que efectua la despesa, les seves preferències personals o establir unes determinades pautes de conducta, així com determinades dades (com domicilis particulars o núm. DNI), que no resulten pertinents per aconseguir la finalitat de transparència.