L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
En casos de suplantació d'identitat, és procedent l'arxiu quan l'entitat denunciada actua amb la diligència que li és exigible.
És procedent l'arxiu quan les dades s'utilitzen amb la finalitat informada.
L'Escola va publicar durant un temps indeterminat però com a mínim, fins el febrer de l'any 2018, una sèrie de vídeos que recollien imatges i/o veu de menors, captades durant el concert de Nadal, sense disposar del consentiment dels seus progenitors/es atès que en el model d'autorització no s'especificava que les dades també es podrien publicar al Canal You Tube.
Atès que l’opció 1 i 2, no permet que l’afectat visualitzi i signi un document únic, en format electrònic, que inclogui les seves dades i la informació que ha de rebre sobre el tractament d’aquestes (art. 13 RGPD), des de la perspectiva de la protecció de dades personals no es pot considerar que aquesta opció permeti acreditar de manera adequada el compliment del deure d’informar als afectats, sens perjudici que altres sistemes (opció 3) puguin permetre aquesta acreditació del compliment del deure d’informar. La clàusula informativa objecte de consulta es pot considerar adequada a les exigències de l’RGPD, si es tenen en compte les consideracions fetes en aquest dictamen.
La normativa de protecció de dades no impedeix lliurar informació sobre l’organigrama dels empleats de la Corporació de l’any 2018, de la plantilla i de la relació de llocs de treball. També es pot lliurar còpia dels expedients de modificació de l’RLT, si bé en aquest cas caldria excloure’n les dades que permetin identificar terceres persones diferents a les que hagin intervingut en la seva aprovació per raó del seu càrrec. Pel que fa als expedients de nomenaments de les persones que ocupen els diferents llocs de l’Ajuntament, la protecció de dades personals no impedeix donar-hi accés. En qualsevol cas, abans de donar accés a dades de caràcter personal cal haver efectuat el tràmit d’audiència previst a l’LTC i que no en resulti cap motiu que pugui justificar la denegació de l’accés.
Els destinataris i les funcions públiques atribuïdes a les Cambres de Comerç poden justificar la no obligatorietat de designació d’un delegat de protecció de dades a l’empara de la lletra a) de l’article 37.1 de l’RGPD, tot i que a criteri d’aquesta Autoritat resulta recomanable la seva designació. Això sens perjudici de la seva obligatorietat en el cas que concorri algun dels supòsits previstos a les lletres b) o c) del mateix article 37.1.
L’article 23 de l’LTC impedeix l’accés a la informació sobre les inspeccions realitzades on s’hagin detectat incompliments que suposen la comissió d’infraccions en matèria de seguretat industrial, així com als expedients sancionadors oberts arran d’aquestes inspeccions que permeti identificar directament o indirecta la persona física titular de l’empresa. Aquest accés només pot fer-se de manera anonimitzada, tret que concorri l’habilitació legal prevista en l’article 8.8 de la Llei 19/2014, de 31 de juliol.
El marc normatiu estudiat no habilita la comunicació de dades de salut d’un pacient a l’autoritat de Trànsit per part dels metges que participen en l’atenció mèdica al pacient, atès que el manteniment del secret professional és un deure inherent a l’exercici de la professió mèdica, que no es pot exceptuar en el cas que ens ocupa i en els termes que planteja la consulta. Això amb independència que en la comunicació es concreti o no la patologia que motiva la comunicació.
Els centres educatius que imparteixen ensenyaments artístics seran, per la informació de què es disposa, responsables del tractament de les dades personals relatives a la realització de les proves específiques d’accés a aquests ensenyaments, i això amb independència de llur titularitat, pública o privada.
El personal adscrit als centres penitenciaris s'ha d'identificar a través de la targeta d'identitat professional d'acord amb el que disposa la normativa sectorial. L'ús del DNI per identificar a aquestes persones usuàries en els sistemes d'informació (l'autenticació és a través de contrasenya); així com que en el sistema operatiu es mostri el nom i cognoms de la persona usuària, es considera que és un tractament inadequat, no pertinent i excessiu de dades personals.