L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El Servei Català de la Salut va encarregar a una associació la realització d'una enquesta per tal de valorar el grau de satisfacció de les persones usuàries dels centres de salut mental. En el marc d'aquest encàrrec, el CatSalut va facilitar a la citada associació dades relatives a pacients d'aquests centres, sense haver formalitzat prèviament el corresponent contracte d'encarregat.
S'estima la reclamació per motius formals, ja que la DGP no va donar resposta dins el termini legalment establert. No resulta necessari pronunciar-se sobre el fons, atès que, de manera extemporània i un cop presentada la reclamació, la DGP va estimar la sol·licitud d'accés.
No resulta d'aplicació la normativa de protecció de dades personals a les càmeres instal·lades, però que encara no han entrat en funcionament.
S'estima la reclamació per motius formals, ja que la DGP no va donar resposta dins el termini legalment establert. No resulta necessari pronunciar-se sobre el fons, atès que, de manera extemporània i un cop presentada la reclamació, la DGP va estimar la sol·licitud d'accés.
Una associació de veïns va enviar un correu amb un fitxer adjunt a l'Ajuntament. El fitxer contenia les dades personals de 55 socis, en concret, nom i cognoms, i DNI. Posteriorment, en un grup de WhatsApp creat per un particular va aparèixer publicada una foto del llistat de socis. L'Ajuntament va aportar un informe tècnic d'una empresa informàtica que conclou que no es va trobar cap evidència que la informació s'hagués distribuït des dels ordinadors de l'Ajuntament. La persona denunciant tampoc no va aportar cap indici que permetés deduir que l'Ajuntament era el responsable de la difusió del document, més enllà del fet que va enviar el document controvertit per correu electrònic a l'Ajuntament. Tampoc hi havia indicis en cap dels missatges dels grups de WhatsApp aportats per la persona denunciant.
Vulneració del principi de confidencialitat. Durant la sessió d'un Ple municipal, un regidor de l'equip de govern de l'Ajuntament va identificar un policia municipal per mitjà de nom i cognom. També va comentar que havia esta de baixa i que en aquell moment es trobava de vacances. El Ple és va gravar i es va pujar al canal de YouTube de l'Ajuntament. També es podia accedir-hi des de la pàgina web de l'Ajuntament.
El vídeo es trobava accessible sense cap restricció i va romandre publicat des del dia 31/07/2020 (data de la publicació) fins almenys el dia 15/03/2021, data en què l'Ajuntament va eliminar el vídeo.
S'estima la reclamació per motius formals, ja que la DGP no va donar resposta dins el termini legalment establert. No resulta necessari pronunciar-se sobre el fons, atès que, de manera extemporània i un cop presentada la reclamació, la DGP va estimar la sol·licitud d'accés.
El responsable del tractament ha d'efectuar una anàlisi de riscos per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades que tracta a través del gestor d'expedients.
En la recollida de les dades cal facilitar tota la informació prevista a l'article 13 de l'RGPD. En compliment de les obligacions de protecció de dades en el disseny, el responsable del tractament ha d'adoptar les mesures tècniques i organitzatives adequades per aplicar de manera efectiva els principis de protecció de dades, entre els quals el principi de confidencialitat. En el present cas, no es garantia que les persones que es van unir al grup de WhatsApp creat per l'Ajuntament, no poguessin accedir al número de mòbil, foto de perfil i nom d'usuari de la resta de membres.
El telèfon i l’adreça de correu electrònic, sempre que es pugui associar directament o indirecta a una persona física, són una dada personal el tractament de la qual s’ha d’adequar als principis i garanties de la normativa de protecció de dades. La publicació de les dades relatives al nom de l’establiment, el domicili industrial de l’establiment, telèfon, adreça de correu electrònic, web, enllaç directe a la ubicació en mapa i coordenades de localització geogràfica de les empreses inscrites al RIAAC, pot basar-se en el consentiment de les persones afectades. La difusió d’aquestes dades també pot basar-se en les previsions dels articles 19.3 LOPDGDD i 6.4 RGPD, sempre que s’ofereixi a les persones afectades la possibilitat de demanar l’exclusió de la seva empresa de la difusió.