L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona reclamant va manifestar que no volia rebre més mails de l'entitat i va demanar la supressió de totes les seves dades, però l'entitat només va suprimir de la seva dada de correu electrònic. S'estima la petició de supressió.
El responsable del tractament ha d'efectuar una anàlisi de riscos per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades.
L'aparent incongruència entre la continua presència en la biblioteca de l'ISPC d'un policia local amb la seva condició de membre de la policia en actiu -de la qual podria inferir-se un eventual incompliment de funcions- justificaria que l'ISPC posés en coneixement de la Policia Local aquesta circumstància i la informació relacionada, per tal que aquest cos policial pogués avaluar l'oportunitat d'iniciar actuacions a fi i efecte de dirimir eventuals responsabilitat disciplinàries.
Tot i haver-se evidenciat que en el moment de produir-se els fets objecte de notificació de la violació de seguretat, el responsable del tractament no tenia implementades les mesures de seguretat adequades, tenint en compte que aquestes es van implementar arran l'incident, els riscos que es podien derivar i que l'Autoritat va tenir coneixement dels fets arran la notificació efectuada pel responsable, correspon descartar la incoació d'un procediment sancionador i acordar l'arxiu.
Incorporar a la història clínica de la persona denunciant un diagnòstic vinculat a la condició de fumadora o exfumadora, quan la persona denunciant no era fumadora, és contrari al principi d'exactitud de les dades.
Se sanciona la vulneració de mesures de seguretat per dos fets: a) A la sala d'espera d'un servei de l'Hospital, les persones que allà romanen poden sentir la conversa que manté el personal assistencial amb el/la pacient; i, b) els/les pacients són cridats/des quan els arriba el torn per ser atesos, pel seu nom i cognom.
Sol·licitar en una entrevista per a la preinscripció en un programa de formació i inserció (PFI), si la persona preinscrita pren algun tipus de medicació, sense que concorri cap de les circumstàncies contemplades a l'article 9.2 de l'RGPD que permeten el tractament de categories especials de dades, és constitutiu d'infracció. Aquesta recollida de dades relatives a la salut, no era necessària per al barem de l'entrevista, la qual tenia com a finalitat valorar l'adequació del programa a la situació, interessos, motivació i aptituds de l'alumne/a i a la manca d'experiència laboral.
A l’empara de la legislació analitzada, el Col·legi pot publicar la informació que consta al Registre de col·legiats, exercents i no exercents, consistent en nom i cognoms, número de col·legiació, titulació, dades de contacte professional (domicili professional, telèfon, correu electrònic ...) i situació d’habitació professional. Pel que fa als socis, professionals i no professionals, de societats professionals, cal donar accés a la seva identificació, i, si escau, el número de col·legiació i Col·legi professional d’adscripció. Respecte les persones encarregades de l’administració i representació d’aquestes societats, es pot donar accés a les seves dades identificatives. En ambdós casos es poden publicar també les dades de contacte professional. La normativa de protecció de dades no impedeix la publicació del domicili personal del col·legiat quan coincideixi amb el domicili professional, sense perjudici del deure d’informar-ne amb caràcter previ als professionals afectats i de la possibilitat que aquests s’oposin a la divulgació d‘aquesta dada quan la seva situació personal ho justifiqui. La normativa de protecció de dades personals no impedeix que les dades personals dels professionals a les quals es pot accedir a través de la Finestreta única es puguin comunicar a tercers que les sol·licitin per via telefònica o per correu electrònic.
La informació sobre les retribucions que una persona percep de les empreses de producció contractades per l’empresa pública que presta serveis de televisió de comunicació audiovisual, arran la seva participació en programes o espais produïts per aquestes empreses, no entra dins la informació a la qual és d’aplicació el règim de la legislació de transparència, per la qual cosa no estaria justificada la limitació del dret a la protecció de dades. El lliurament d’aquesta informació, per tant, no es pot emparar en la legislació de transparència, sens perjudici que es pugui emparar en alguna altra base jurídica, com ara el consentiment de la persona afectada.