L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Aigües de Barcelona va emetre un total de 12 factures i els corresponents rebuts de domiciliació bancària amb dades personals errònies. En concret, va assignar noms i cognoms de 5 usuaris diferents al DNI de la persona denunciant. Per aquesta raó els rebuts bancaris es van enviar al cobrament al compte de la persona denunciant amb els noms i cognoms de persones distintes al titular del compte
bancari.
S'estima la reclamació de la persona ex-treballadora de l'Ajuntament, atès que l'Ajuntament li va lliurar còpia de dos documents obrants al seu expedient personal, però no li va facilitar còpia de totes les dades personals que constaven al seu expedient corresponent al període en que va estar treballant a l'Ajuntament, tal i com la persona reclamant havia demanat a la seva sol·licitud.
S'arxiva en la mesura que els accessos a la HC estaven justificats i obeïen a raons assistencials.
S'arxiva en la mesura que l'entitat denunciada ha justificat els accessos per raons assistencials. No es disposa de cap element que permeti qüestionar les raons esgrimides per l'hospital i que justificarien els accessos.
El consentiment del personal afectat no pot considerar-se una base jurídica adequada per a la implantació d’un sistema de control horari mitjançant reconeixement facial com el que es descriu a la consulta. Seria necessària la previsió d’aquest sistema de control en una disposició legal o en un conveni col·lectiu aplicable, o si escau, en un pacte o acord resultat de la negociació col·lectiva, circumstàncies que no sembla que concorrin en el cas analitzat. En qualsevol cas, abans de la implantació d’un sistema d’aquest tipus, cal fer una avaluació de l’impacte sobre la protecció de dades a la vista de les circumstàncies concretes en què es dugui a terme el tractament per determinar-ne la licitud i la proporcionalitat, inclosa l’anàlisi de l’existència d’alternatives menys intrusives, i establir les garanties adequades.
La persona reclamant va demanar l'accés a determinats documents d'un procés de mediació en què havia estat part i, per tant, relatius al tractament de les seves dades personals. L'Autoritat va donar trasllat de la reclamació al CG d'Aran, el qual va presentar escrit d'al·legacions. Amb la seva resposta, l'entitat reclamada no va acreditar haver facilitat els documents sol·licitats.
S'amonesta una EUC com a responsable d'una infracció molt greu per haver enviat als veïns associats un correu electrònic sense utilitzar l'opció de còpia oculta. S'arxiva la part de la denúncia relativa a l'enviament, durant la fase de confinament de la pandèmia, de diversos correus oferint serveis de lliurament de comandes a domicili i informatius de telèfons d'interès, atès que per a determinats veïns l'enviament d'aquests correus s'emmarcà en la protecció dels seus interessos vitals, a més del fet que l'EUC actuà amb el convenciment -encara que erroni- que actuava en compliment de les seves funcions.
S'amonesta un Ajuntament com a responsable de 4 infraccions: 1) per captar imatges de la via pública mitjançant les càmeres instal·lades a l'exterior de la microdeixalleria, de manera desproporcionada (es captava la via pública més enllà del que resulta imprescindible); 2) per utilitzar les imatges captades amb fins de seguretat per identificar la persona que no havia dipositat correctament uns residus; 3) Perquè el RAT no inclou tota la informació preceptiva i conté informació inexacta; i 4) Per no informar de forma completa a les persones afectades.
L’elecció del model de recollida selectiva més adequat al municipi requereix d’una avaluació d’impacte relativa a la protecció de dades. L’Ajuntament, en atenció a les competències que té atribuïdes en matèria de gestió de residus, estaria legitimat per dur a terme els tractaments de dades que es deriven de la implantació del sistema de recollida selectiva. Tot i això, a manca de previsió legal específica, l’elaboració de perfils que produeixin efectes jurídics en la persona usuària del servei o que l’afectin significativament de manera similar, requereix comptar amb el consentiment explícit de les persones afectades. La participació de tercers en la implementació d’aquest sistema requereix la formalització d’un contracte d’encarregat i, si escau, de subencarregat, així com, si escau, el compliment de les obligacions establertes al respecte en l’LCSP.
Des del punt de vista de la normativa de protecció de dades no hi ha d’haver impediment en facilitar al regidor la informació reclamada sobre els tiquets, justificants concrets i concepte detallat de la relació de despeses de desplaçaments i dietes presentades per l’alcalde, ometent d’aquests la informació que permeti analitzar o establir certs aspectes relatius a la seva salut, a les seves preferències personals o establir unes pautes de conducta no pertinents per aconseguir la finalitat pretesa. En el cas que la justificació del desplaçament sigui mantenir reunions amb persones físiques que actuen en nom propi diferents als grups d’interès o a persones relacionades amb bens i serveis que pugui requerir l’Ajuntament, caldria facilitar la informació anonimitzada pel que fa a aquestes terceres persones.