L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El responsable ha d'implementar les mesures tècniques i organitzatives necessàries per evitar un accés no autoritzat.
L'encarregat del tractament que presta al responsable els serveis de desenvolupament i millores del web, hosting i suport, ha d'adoptar les mesures necessàries per garantir la seguretat de les dades, i en particular, que per evitar que terceres persones no autoritzades puguin accedir a les dades personals.
L'Ajuntament és responsable d'una infracció prevista a l'art. 83.5.a) RGPD en relació amb l'art. 5.1.c) RGPD, per vulneració del principi de minimització de les dades, pel fet que la seva Policia Local va lliurar un informe d'intervencions diàries a una persona que havia participat en un incident en una sucursal bancària d'on era client, que contenia informació sobre el domicili particular del sotsinspector de la sucursal (a banda de les dades identificatives per haver participat en l'incident), sense el seu consentiment.
L'exigència de la citació judicial per justificar l'absència del treballador per deures inexcusables, on es faci constar la menció "cèdula de citació", l'autoritat judicial que el dicta, data i hora de la compareixença i els advertiments legals en cas d'incompliment, no contravé el principi de minimització de les dades personals.
L'exigència obligatòria del número de DNI, NIE o Passaport, juntament amb el nom i primer cognom de les persones que presenten una queixa i/o suggeriment a través de la pàgina web d'una administració pública, es considera necessària per tal de verificar la identitat de la persona interessada. En aquest sentit, el tractament de les dades establertes com a obligatòries en el formulari de recollida de dades per tramitar la queixa/suggeriment no vulnera el principi de minimització, atès que aquestes dades son adequades, pertinents i necessàries en relació amb les finalitats per a les quals es tracten.
S'arxiva la denúncia en la mesura que no s'ha constatat que la informació revelada tingués com a origen l'entitat denunciada, ja que d'altres entitats també disposaven de la mateixa informació.
S'arxiva la denúncia perquè es constata que els serveis d'inspecció de l'Ajuntament no van accedir a la informació relativa a la IVTM de la persona denunciant, sinó que va ser el mateix denunciant qui va donar aquesta informació a l'Ajuntament en el sí del mateix procediment d'inspecció tributària sobre lús d'un gual municipal.
La normativa de protecció de dades no impedeix l’accés de la persona reclamant a l’expedient de l’organisme reclamat com a conseqüència d’una denúncia seva, incloent les seves pròpies dades personals i la identitat de les persones que haurien intervingut com a testimonis o que hagin intervingut en exercici de les seves funcions en la tramitació de l’expedient, llevat que respecte d’aquestes terceres persones concorrin circumstàncies concretes que en justifiquin la limitació. Caldria limitar l’accés a altra informació de terceres persones que pugui constar a l’expedient sol·licitat, com els contractes de treball, rebuts de salaris, horaris i torns, aportats per l’empresa, així com altres dades identificatives de les persones que hagin prestat declaració davant l’organisme reclamat (DNI, domicili, etc.), la informació sobre terceres persones que aquests hagin revelat en les seves declaracions i la documentació que hagin aportat que no tingui una relació directa amb l’objecte de l’expedient.
Un examen acurat sobre la viabilitat dels accessos previstos al padró de residus per cadascuna de les empreses implicades en el model de recollida selectiva requeriria disposar d’informació detallada sobre cadascuna de les funcions que tenen encomanades com a conseqüència de l’encàrrec efectuat en cada cas per l’Ajuntament. L’elaboració de perfils de comportament amb les dades d’aquest padró que doni lloc a la presa de decisions automatitzades que produeixin efectes jurídics en la persona usuària del servei o que l’afectin significativament de manera similar s’ha d’ajustar a l’article 22 RGPD.
La persona es queixa de la manca de resposta de la universitat en relació amb la seva sol·licitud de supressió de dades. S'estima la reclamació per motius formals, ja que la universitat no va donar resposta dins el termini legalment establert. No resulta necessari pronunciar-se sobre el fons, atès que, de manera extemporània i un cop presentada la reclamació, la universitat va estimar la sol·licitud de supressió de les dades relatives a la denegació d'una beca.