L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El dret a la protecció de dades no impedeix lliurar al comitè d’empresa la informació sobre les retribucions percebudes, per tots els conceptes, pels càrrecs assenyalats en llur sol·licitud d’accés, en la mesura que, per la informació de què es disposa, aquests ostentarien la condició de personal directiu de l’entitat o, en tot cas, ocuparien llocs de confiança o d’especial responsabilitat dins de l’organització.
Els ajuntaments poden utilitzar les dades personals que consten al Padró municipal d'habitants per a identificar els menors en edat d’escolarització obligatòria i posar-se en contacte amb les seves famílies per exercir les competències que els corresponen pel que fa al procés de preinscripció. La normativa tributària no permet la consulta de la informació tributària, de manera generalitzada i sense consentiment de les persones afectades, per a poder detectar amb caràcter previ a la sol·licitud de preinscripció l’existència de situacions socioeconòmiques específiques. No es pot descartar la compatibilitat d’emprar altres bases de dades o registres administratius com els que es descriuen a la conducta, tot i que els termes en què es descriu aquest intercanvi d’informació a la consulta (volum d’informació, persones afectades, moment en què es duria a terme, etc.) plantegen seriosos problemes des del punt de vista de la proporcionalitat de la mesura.
La normativa de protecció de dades no impedeix l’accés de la persona reclamant a l'informe sobre la investigació d'una actuació dels Mossos d'Esquadra en una manifestació, així com a conèixer si de la investigació d'aquests fets es va sancionar a algun mosso d'esquadra, la sanció que se li va imposar i el motiu, prèvia anonimització de les dades personals dels agents afectats. Així mateix, la normativa de protecció de dades personals no impedeix l’accés a les dades identificatives del personal de l’administració que ha intervingut en l’elaboració de l’esmentat informe i constin en aquest document.
Els principis recollits a l’article 24 de l’LOPGDD i, en concret, als efectes de la consulta, el principi de limitació del termini de conservació de les dades, segons el qual les dades s’han de conservar al sistema el temps imprescindible per decidir sobre la procedència d’iniciar una investigació, són d’aplicació al tractament de les dades personals de la Bústia Ètica de la Generalitat de Catalunya. En canvi, no són d’aplicació els terminis concrets previstos a l’article 24. Els terminis de conservació de dades personals previstos en l’acord de Gov/96/2020 no resulten contraris al principi de limitació del termini de conservació previst a la normativa de protecció de dades personals.
La persona reclamant té dret a accedir a tota la informació que sobre la seva persona figuri en l’expedient i en la documentació sol·licitada, incloent l’origen de la informació i, per tant, la identitat de persones que han facilitat informació sobre el reclamant (art. 15 RGPD). La normativa de protecció de dades no impedeix que la persona reclamant pugui accedir a la informació en els termes en que sol·licita, és a dir, còpia anonimitzada de l’expedient, i documents que tinguin relació amb la investigació de la seva conducta com a persona denunciada, excloent de l’accés la informació identificativa innecessària als efectes del principi de minimització (art. 5.1.c) RGPD), així com informació mereixedora d’especial protecció de terceres persones (ex. art. 23 LTC). Tampoc no estaria justificat l’accés a la resta d’informació personal sobre terceres persones que pugui constar en la documentació sol·licitada (art. 24.2 LTC), accés que el reclamant tampoc no demana. La normativa de protecció de dades no impedeix l’accés del reclamant a les dades merament identificatives dels membres de les Comissions encarregades de l’avaluació i investigació del fets denunciats i/o dels empleats públics que puguin constar en la documentació sol·licitada, incloent el certificat que sol·licita.
La comunicació de les dades identificatives i relatives al domicili del padró de la taxa metropolitana de tractament de residus a un ajuntament, per tal de constituir el padró de la taxa de residus municipal, es pot considerar legítima en tractar-se de finalitats compatibles i respondre a l’exercici de les respectives competències en una mateixa matèria.
El responsable del tractament ha de notificar qualsevol violació de la seguretat de les dades personals a l'Autoritat en un termini màxim de 72 hores després que n'hagi tingut constància. En el present cas, no es va incomplir el dit termini.
Resulta contrari al principi de minimització, d'una banda, requerir una còpia del DNI a la persona que presenta una queixa o reclamació, quan aquesta ja consta identificada electrònicament; i de l'altra, l'exigència i tractament del revers del DNI a les persones interessades no identificades electrònicament.
Comunicar a les persones afectades per uns accessos il·lícits al SIP, la incoació d'un procediment disciplinari a dos agents de la Guàrdia Urbana identificats, contravé el principi de confidencialitat. També és contrari al principi de confidencialitat l'accés al SIP per consultar la matrícula d'un vehicle, quan aquest accés no està motivat en l'exercici de les funcions encomanades a l'agent que el realitza. A l'últim, facilitar una còpia d'un informe a una persona expedientada per uns accessos il·lícits al SIP en què també hi consten les dades personals consultades per un altre agent a través del SIP al que també s'incoa un disciplinari, és contrari al principi de licitud.