L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La normativa de protecció de dades no impedeix l’accés directe de la persona reclamant al contingut íntegre dels decrets que han de ser posats en coneixement del ple. Fora del supòsit anterior, l’accés al text íntegre de tots els decrets sol·licitats requereix d’una ponderació adequada per tal d’excloure-hi la informació relacionada amb categories especials de dades (art. 9 RGPD), o altra informació mereixedora d’especial protecció, com ho seria la relacionada amb la comissió d’infraccions penals o administratives, o qualsevol altra que suposi revelar informació de persones en situació d’especial vulnerabilitat social. En aquest cas la informació hauria de facilitar-se manera anonimitzada. Això, sens perjudici que pugui haver algun cas concret excepcional en què, prèvia sol·licitud del regidor, s’exposin motius justificats que posin de manifest la necessitat de l’obtenció de dita informació per a l’exercici de les seves funcions de control i fiscalització.
L’obtenció d’una relació individualitzada de les hores extraordinàries realitzades per la plantilla de la policia municipal pot ser rellevant a efectes d’avaluar la gestió realitzada pels òrgans de govern de la corporació, els criteris per a l’assignació de determinats serveis i, en última instància un control de la despesa pública, que podria justificar l’accés de la persona reclamant a la informació sol·licitada. Pel que fa a l’accés als fitxatges de la plantilla de la Policia Municipal, l’accés podria estar justificat, d’acord amb la finalitat de la legislació de transparència, en efectuar, a partir del seguiment del compliment de l’horari del personal, una verificació de l’actuació de l’administració local i del compliment de la normativa en aquesta matèria. Però aquest seguiment i control de la legalitat de l’actuació municipal es pot efectuar igualment sense conèixer la identitat de les persones concretes de la plantilla que efectua uns determinats marcatges d’entrada i sortida al seu lloc de treball, mitjançant l’anonimització de la informació.
Correspon als centres assistencials garantir que la informació que es publica a la història clínica compartida, la qual es pot consultar a través de "La Meva Salut", és exacta. Aquesta inexactitud, consistent en assignar als documents clínics un CIP corresponent a una altra persona, van comportar que aquesta última pogués accedir als documents clínics d'una tercera persona.
S'estima la reclamació, en constatar que la universitat no havia fet efectiu el dret de supressió de les dades d'un usuari que havia sol·licitat informació, i que posteriorment havia sol·licitat la supressió de les seves dades, en constatar que posteriorment a l'estimació de la sol·licitud va rebre un correu publicitari del màster, enviat per un col·laborador de la universitat, que havia recollit les dades en un espai aliè a l'habitual de la universitat on les dades s'havien suprimit.
L'accés dels agents de policia als fitxers policials ha d'estar justificat en l'exercici de les seves funcions. La violació de seguretat s'ha de notificar a l'Autoritat.
En el cas descrit a la consulta, l’hospital que subcontracta la realització d’analítiques dels seus pacients a un laboratori, és el responsable del tractament, ja que és qui “determina les finalitats i el tractament” de les dades dels pacients, i el laboratori és l’encarregat del tractament d’aquestes dades. Que el laboratori hagi de conservar bloquejades determinades dades personals que ha tractat en atenció a l’encàrrec dels hospitals durant el temps que correspongui segons la normativa d’autonomia del pacient, no desvirtua la conclusió que el laboratori sigui un encarregat del tractament.
L'enviament d'un correu electrònic en què constava que la persona destinatària era una tercera persona identificada a través del seu nom i cognoms, vulnera el principi de confidencialitat.
Una persona va utilitzar el correu corporatiu per remetre a totes les persones que formaven part de la mateixa direcció general en la que treballava,un correu electrònic quin contingut en absolut no estava vinculat a qüestions relacionades amb l'àmbit laboral.
S'arxiva la denúncia perquè la derivació de la sol·licitud de l'ajuntament a la DG Gerència del cadastre immobiliari ( òrgan estatal) es va dur a terme perquè la competència en la matèria del cadastre immobiliari és de titularitat estatal. La tasca de recepció de la queixa i de la notificació postal (repartiment postal) de la notificació de la resolució emesa per la DG cadastre immobiliari les va realitzar l'ens local en virtut d'un conveni de col·laboració formalitzat per ambdues administracions.
La demanda d'un Ajuntament per a la prestació de serveis de delegat de protecció de dades a un cost reduït, no pot ser qualificada com una pràctica de cost zero. El responsable del tractament quan designa un delegat de protecció de dades (intern o extern) s'ha d'assegurar que aquest disposa de la suficient qualificació professional i coneixements especialitzats en matèria de protecció de dades. Al seu torn, ha de proporcionar al delegat de protecció de dades el temps suficient per desenvolupar correctament les seves funcions i els recursos financers, d'infraestructura i de personal que siguin necessaris.