L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Dada personal. Les imatges controvertides (en el cas que fossin reconeixibles les persones que allà hi apareixen) haurien servit per il·lustrar, de forma totalment accessòria, una informació, concretament, un programa d'actes de l'Ajuntament, per la qual cosa existiria una base que legitimaria el tractament.
La persona denunciant, professor d'universitat, va denunciar la universitat per considerar que la seva coordinadora d'estudis havia vulnerat el seu deure de confidencialitat quan revelà el contingut d'uns missatges de WhatsApp davant un presumpte assetjament sexual per part d'aquest professor envers una alumna a qui havia enviat aquests missatges. La denúncia s'arxiva per considerar que: 1) la comunicació de dades personals derivada de les reunions mantingudes per la coordinadora d'estudis amb la Degana i la cap de Departament, estava emparada per la base jurídica prevista a l'art. 6.1.c) del RGPD (la coordinadora estava obligada ex lege a atendre i assessorar l'alumna, i a comunicar els fets a la Degana de la Facultat i a la cap del Departament), i també per la base jurídica prevista a l'art. 6.1.e) RGPD (la coordinadora va comunicar les dades personals en l'exercici de les funcions de direcció i de control d'un ensenyament que coordinava); i 2) l'aportació i posterior accés als missatges per part dels membres de la comissió universitària estava emparada per les mateixes bases jurídiques, perquè la comunicació estava emparada en un protocol d'actuació aprovat per la universitat (art. 6.1.c RGPD), i perquè la coordinadora actuava en exercici de les funcions de prevenció de l'assetjament sexual en el seu àmbit d'actuació (art. 6.1.e RGPD).
L'any 2017 la persona denunciant, treballadora d'un Hospital públic, va sol·licitar al dit Hospital l'accés a documentació clínico-laboral referent als accidents de treball que havia patit, i un cop l'Hospital li lliurà la documentació, la denunciant sol·licità la informació referent a un accident laboral que havia patit l'any 2007, i l'Hospital manifestà que no disposava de cap informació, i que l'únic que li constava, un informe d'Urgències emès el 2007, s'havia eliminat per haver transcorregut el termini de 5 anys previst a la normativa sanitària (art. 12.6 Llei 21/2000). L'Autoritat va constatar que l'Hospital havia eliminat la documentació clínico-laboral requerida per la denunciant, abans d'exhaurir el termini legalment previst. Pel que fa a la determinació d'aquest termini, l'article 12.12 Llei 21/2000 remet a la normativa específica de prevenció de riscos laborals i de protecció de la salut dels treballadors en les històries clíniques relatives a la vigilància de la salut dels treballadors. D'acord amb aquesta normativa, l'Hospital hauria d'haver conservat la documentació clínico-laboral esmentada mentre durés la relació laboral entre l'Hospital i la persona reclamant, ja que tal conservació era necessària per a què l'Hospital pogués complir tant amb les seves obligacions com a empresari en matèria de prevenció de riscos laborals, com també amb les seves obligacions derivades de la gestió directa de les contingències professionals dels seus treballadors. No obstant, es dicta una resolució d'arxiu, ja que la infracció comesa, relativa a la vulneració del principi de qualitat (infracció greu prevista a l'art. 44.3.d LOPD en relació amb l'article 4.5 LOPD) hauria prescrit (als 2 anys a comptar de l'eliminació de la documentació).
S'arxiva en base al principi de presumpció d'innocència, en la mesura que no s'ha acreditat que el consentiment per al tractament de les imatges de menors no s'hagi prestat de forma lliure.
La qualificació del grau de minusvalidesa que realitzin els òrgans tècnics competents, és independent de les valoracions tècniques efectuades per altres organismes en l'exercici de les seves competències públiques.
El tractament de dades de les persones usuàries del sistema de recollida de residus porta a porta, és necessari per al compliment d'una missió en interès públic o l'exercici de poders públics.
S'arxiva ja que no s'acredita cap accés indegut a història clínica.
La utilització per part d'un Ajuntament d'un compte corrent d'una veïna, que estava destinat al cobrament d'impostos, per a efectuar un ingrés bancari de l'import corresponent a la indemnització que corresponia a aquesta veïna per la seva assistència com a regidora a un Ple municipal, constitueix una finalitat incompatible amb la inicialment prevista. Consegüentment, l'ingrés efectuat sense haver informat prèviament la veïna dels extrems de l'art. 5 LOPD, i sense el seu consentiment, resulta contrari al principi de qualitat de les dades , en la seva vessant de principi de finalitat (art. 4.2 LOPD).
S'arxiven els fets que podrien comportar una vulneració del principi integritat i confidencialitat, perquè la persona a qui la denúncia assenyalava com la que va comunicar les notes de l'alumne davant una aula d'estudiants, no podia conèixer les qualificacions oficials i certes. L'IES també nega els fets denunciats, i, no existeixen elements probatoris suficients per imputar una infracció (principi de presumpció innocència).
S'arxiva en la mesura que no s'ha constatat cap accés indegut a bases de dades, ni l'eventual revelació de les dades allà incloses a terceres persones. Presumpció d'innocència.