L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El cartell informatiu de l'existència de les càmeres s'ha d'ajustar al disseny i contingut establerts per la Instrucció 1/2009 i s'ha de col·locar en un emplaçament clarament visible. Correspon al responsable del tractament vetllar per la conservació i manteniment dels cartells. Al seu torn, s'ha de proporcionar a les persones afectades informació sobre la resta de punts previstos a l'article 13 de l'RGPD, tal com imposa l'article 12.6 de la Instrucció 1/2009.
En el present cas, es va enviar un escrit a una persona en què s'incloïa també part d'un escrit que no estava vinculat i que contenia dades d'una tercera persona.
No és necessari remetre la còpia de la queixa, que contenia dades de salut, a tot l'equip sanitari que potencialment podia haver atès a la persona usuària del servei o a la seva filla. Aquesta finalitat es podia haver assolit informant simplement al personal que podia haver atès a la persona usuària, que s'havia presentat una queixa en relació a l'assistència prestada a la persona usuària i l'atenció a la seva filla. Per determinar les mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades que s'enviaven a través de correu electrònic, cal realitzar una anàlisi de riscos.
L'ICS va enviar erròniament per correu electrònic un document a una persona que no era la titular de les dades, Responsabilitat de l'entitat pels actes materialment comesos pel seu personal.
Vulneració del principi de limitació del termini de conservació, per mantenir publicats a internet -web institucional de l'Ajuntament- llistats relatius al dit procés selectiu més enllà de les dates en què estaria justificat.
En un centre d'assistència primària, les persones que romanen a l'espera de que se'ls faci una analítica, són cridades pel seu nom i cognoms quan els arriba el torn per ser ateses, el que suposa una vulneració de mesures de seguretat. La durada de la informació prèvia no es computa a efectes de caducitat del procediment sancionador.
S'estima per raons d'extemporaneïtat, atès que la DGP ha superat amb escreix el termini de resolució i notificació previst a la normativa aplicable. Quan al fons, es desestima, perquè cal mantenir les dades per qüestions de seguretat ciutadana i per necessitats de les investigacions que s'estiguin duent a terme.
S'estima la reclamació per motius formals, atès que la DGP no va donar resposta dins el termini legalment establert. No és necessari pronunciar-se sobre el fons, atès que, de manera extemporània i un cop presentada la reclamació, la DGP va estimar la sol·licitud de cancel·lació de les dades relatives a la persona reclamant.
L'Ajuntament va encarregar a una empresa la realització d'un reconeixement mèdic a una persona que sol·licitava permutar una plaça. Aquest encàrrec no es va formalitzar en un contracte tal com exigeix l'art. 28 RGPD.
L'Ajuntament encarregava que les notificacions en paper s'entreguessin en sobre obert, i donant a l'agent notificador accés directe d'una còpia del document a notificar al destinatari.