L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona reclamant va demanar l'accés als informes tècnics preceptius de l'equip multidisciplinari en relació amb dos permisos de sortida de la presó on es trobava intern. La Junta de tractament va respondre l'exercici del dret en relació amb la primera sol·licitud, però no ho va fer en el cas de la segona sol·licitud.
El Departament de Salut va encarregar a SEMSA la contractació del servei de seguiment dels contactes estrets amb persones infectades de covid-19, la qual cosa comportava el tractament de dades personals. I a tal efecte SEMSA va contractar l'empresa privada Ferroser Servicios Auxiliares, SA, sense formalitzar l'encàrrec del tractament en un contracte tal com exigeix l'art. 28 RGPD, la qual cosa és constitutiu d'infracció.
El Servei Català de la Salut va encarregar a una associació la realització d'una enquesta per tal de valorar el grau de satisfacció de les persones usuàries dels centres de salut mental. En el marc d'aquest encàrrec, el CatSalut va facilitar a la citada associació dades relatives a pacients d'aquests centres, sense haver formalitzat prèviament el corresponent contracte d'encarregat.
El responsable del tractament ha d'efectuar una anàlisi de riscos per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades que tracta a través del gestor d'expedients.
En la recollida de les dades cal facilitar tota la informació prevista a l'article 13 de l'RGPD. En compliment de les obligacions de protecció de dades en el disseny, el responsable del tractament ha d'adoptar les mesures tècniques i organitzatives adequades per aplicar de manera efectiva els principis de protecció de dades, entre els quals el principi de confidencialitat. En el present cas, no es garantia que les persones que es van unir al grup de WhatsApp creat per l'Ajuntament, no poguessin accedir al número de mòbil, foto de perfil i nom d'usuari de la resta de membres.
Vulneració del principi de confidencialitat. Durant la sessió d'un Ple municipal, un regidor de l'equip de govern de l'Ajuntament va identificar un policia municipal per mitjà de nom i cognom. També va comentar que havia esta de baixa i que en aquell moment es trobava de vacances. El Ple és va gravar i es va pujar al canal de YouTube de l'Ajuntament. També es podia accedir-hi des de la pàgina web de l'Ajuntament.
El vídeo es trobava accessible sense cap restricció i va romandre publicat des del dia 31/07/2020 (data de la publicació) fins almenys el dia 15/03/2021, data en què l'Ajuntament va eliminar el vídeo.
No resulta d'aplicació la normativa de protecció de dades personals a les càmeres instal·lades, però que encara no han entrat en funcionament.
Es denunciava que el cartell informatiu de l'existència de la càmera o càmeres que hauria instal·lat, no incorporava la informació sobre la identitat del responsable del tractament. De les actuacions, no s'ha acreditat ni l'existència de les càmeres en la ubicació objecte de denúncia, ni tampoc que el cartell l'hagués col·locat l'entitat denunciada.
Una associació de veïns va enviar un correu amb un fitxer adjunt a l'Ajuntament. El fitxer contenia les dades personals de 55 socis, en concret, nom i cognoms, i DNI. Posteriorment, en un grup de WhatsApp creat per un particular va aparèixer publicada una foto del llistat de socis. L'Ajuntament va aportar un informe tècnic d'una empresa informàtica que conclou que no es va trobar cap evidència que la informació s'hagués distribuït des dels ordinadors de l'Ajuntament. La persona denunciant tampoc no va aportar cap indici que permetés deduir que l'Ajuntament era el responsable de la difusió del document, més enllà del fet que va enviar el document controvertit per correu electrònic a l'Ajuntament. Tampoc hi havia indicis en cap dels missatges dels grups de WhatsApp aportats per la persona denunciant.
El telèfon i l’adreça de correu electrònic, sempre que es pugui associar directament o indirecta a una persona física, són una dada personal el tractament de la qual s’ha d’adequar als principis i garanties de la normativa de protecció de dades. La publicació de les dades relatives al nom de l’establiment, el domicili industrial de l’establiment, telèfon, adreça de correu electrònic, web, enllaç directe a la ubicació en mapa i coordenades de localització geogràfica de les empreses inscrites al RIAAC, pot basar-se en el consentiment de les persones afectades. La difusió d’aquestes dades també pot basar-se en les previsions dels articles 19.3 LOPDGDD i 6.4 RGPD, sempre que s’ofereixi a les persones afectades la possibilitat de demanar l’exclusió de la seva empresa de la difusió.