L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Per una banda, mitjançant el certificat digital vinculat a una persona treballadora de l'entitat -que li permetia l'accés al fitxer d'HC3 del Departament de Salut- una persona o persones no identificades va/varen accedir a les HC3 de les persones denunciants, totes elles treballadores de l'entitat; fet que es considera constitutiu d'una vulneració del principi de licitud vinculat al tractament indegut de categories especials de dades.
D'altra banda, el certificat digital vinculat a una de les persones treballadores de l'FSFA, que com s'ha dit permetia l'accés al fitxer d'HC3, fou instal·lat en diversos ordinadors als quals tenien accés distintes persones també treballadores de l'entitat. Així, en la mesura que totes aquestes persones podien utilitzar el mateix certificat per accedir a la base de dades d'HC3, no es podia garantir la identificació de forma inequívoca i personalitzada de la persona que efectivament hi accedia, ni en conseqüència, tampoc analitzar la justificació d'aquests accessos. Aquest fet es considera constitutiu d'una infracció de mesures de seguretat.
Publicació en el Tauler d'anuncis de la seu electrònica de l'Ajuntament, d'un document amb dades personals de les persones ciutadanes (entre elles, els denunciants) que havien participat en el procés consultiu sobre el sistema d'estacionament regulat (zona blava) endegat pel consistori. En concret, les dades personals difoses són: nom i cognoms, número de DNI, telèfon, adreça postal i adreça electrònica, de cadascuna de les persones que havien presentat al·legacions, així com el seu contingut i la consegüent informació personal que se'n derivava.
S'estima la reclamació perquè es considera que la petició recollida a la sol·licitud presentada encaixaria dins el marc d'una sol·licitud de dret d'accés de l'art. 15 de l'RGPD, i no se li va donar resposta formal en aquests termes. La persona reclamant tenia dret a rebre una resposta del responsable del tractament, encara que fos per indicar-li que no disposava de la informació sol·licitada. Tot això, sens perjudici que abans se li pogués requerir que esmenés la seva sol·licitud acreditant que actuava en representació del seu fill.
S'estima la reclamació presentada per la persona reclamant contra la DGP.
Una persona s'havia enregistrat en una universitat a l'efecte de rebre informació sobre uns estudis, als quals finalment no es va matricular, i va sol·licitar la supressió de les seves dades personals, sense aconseguir tal supressió. L'Autoritat desestima la seva reclamació, en atenció al fet que la universitat no havia suprimit les seves dades perquè aquesta persona no va acreditar la seva identitat, tot i haver-li-ho requerit, i l'adreça electrònica des de la que formulà la sol·licitud de supressió no figurava en les bases de dades de la universitat.
Es declarara extemporània la resolució de la DGP, que estima la sol·licitud de supressió de les dades de la persona reclamant incorporades al fitxer de l'àmbit SIP, sense entrar en altres consideracions respecte el fons, atès que la DGP ha atès el dret exercit per la dita persona, i ha acordat suprimir les dades.
Procedeix l'arxiu del cas examinat atès que no ha quedat provat que hagi estat l'Ajuntament qui ha filtrat les dades personals del denunciant a un mitja de comunicació comarcal. La informació filtrada fa referència a la retirada d'un galó d'un agent policial, així com a la retirada de la seva arma de foc.
S'estima la reclamació perquè es considera que la petició recollida a la sol·licitud presentada encaixaria dins el marc d'una sol·licitud de dret d'accés de l'art. 15 de l'RGPD, i no se li va donar resposta formal en aquests termes. La persona reclamant tenia dret a rebre una resposta del responsable del tractament en aquest sentit, amb independència de si tenia o no la condició de persona interessada en un procediment en curs, o de si els correus electrònics formen part o no de l'expedient administratiu en els termes de l'article 70 LPAC, ja que tota persona física té dret a accedir a la informació personal sobre ella mateixa.
Es declara extemporània la resolució de la DGP que estima la sol·licitud de la persona reclamant, de supressió de les seves dades personals relatives a les diligències policials núm. (...) incorporades al fitxer de l'àmbit SIP, sense entrar en altres consideracions respecte el fons, ja que que la DGP ha atès el dret exercit per la persona reclamant, i ha acordat suprimir aquestes dades.
L'Ajuntament no disposava d'un sistema d'informació que permetés garantir la traçabilitat de les accions que portava a terme en relació amb la informació continguda dins una carpeta digital. Aquest fet va comportar que no es pogués verificar quins usuaris hi havien accedit, en quin moment, i quines accions havien dut a terme.