L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
En el cas que el personal formi part de la plantilla de la corporació, la normativa de protecció de dades no impediria l’accés a la identitat de la persona seleccionada, i a la puntuació obtinguda com a resultat dels mèrits i proves realitzades. En canvi, no estaria justificat l’accés a l’informe d’avaluació del candidat ni a la informació personal de la resta de persones que poden haver participat en aquests processos de selecció. Respecte a les condicions retributives d’aquestes persones, es podrien facilitar les dades retributives consistents en el sou base, complements específics i de destinació associats al llocs de treball afectats. En el cas que el personal estigui contractat per una empresa que gestiona el servei públic per compte de la corporació, la normativa de protecció de dades no impediria l’accés a la identitat de l’adjudicatària, l’expedient de licitació i d’adjudicació, el procediment emprat per contractar, la durada, el nombre de licitadors, ni a la identitat de les persones contractades per a la prestació d’aquest servei.
La transmissió de dades especialment protegides sense xifrar a través de correu electrònic, es contrària al principi de seguretat, i constitueix una infracció greu.
S'imputa la vulneració de mesures de seguretat, ja que el responsable del tractament va permetre que es pogués accedir en obert a través d'internet a documents amb dades personals.
L'ICAB va contractar amb CERES la realització de l'estudi "Radiografia de la professió 2016", en el marc de la qual CERES, actuant com encarregada del tractament, va remetre una enquesta a les persones col·legiades. En relació amb la realització d'aquesta enquesta es declaren les infraccions següents comeses per l'ICAB: a) manca de contracte d'encarregat, atès que en la documentació que regeix el contracte entre l'ICAB i CERES no es concreten les mesures de seguretat, ni tan sols el nivell, que l'empresa ha d'implementar; b) manca dret informació, atès que la clàusula informativa que conté l'enquesta remesa era incorrecte; i c) recollida de dades enganyosa , en la mesura que l'ICAB va informar a les persones col·legiades sobre la recollida anònima de les dades en el si de l'enquesta quan, en realitat, durant un temps es va poder vincular les respostes de l'enquesta a cada una de les persones col·legiades que l'havien respòs.
La difusió a través d'internet (xarxes socials) de dades personals de salut i sindicals relatives a un agent policial, que constaven a fitxers de l'Ajuntament, i a les quals el GM hi hauria tingut accés, es considera un tractament il·líict de dades especialment protegides.
El dret a la protecció de dades no impedeix lliurar a la persona reclamant la informació relativa a la identitat i al compliment dels requisits de participació per part de les persones finalment seleccionades en els processos de provisió provisional de llocs de treball oferts per l’Administració des de l’any 2016 fins l’actualitat. Pel que fa a la informació relativa a la puntuació obtinguda en relació amb els mèrits valorats i/o les proves realitzades, el dret a la protecció de dades no impedeix donar-hi accés respecte les persones finalment seleccionades. Pel que fa a la resta de candidats, l’accés no resultaria justificat, llevat que s’anonimitzés.
No cal reiterar el dret d'informació si aquest ja es va fer efectiu en la recollida de les dades amb motiu de l'expedició d'una targeta ciutadana, llevat que s'utilitzin qüestionaris o altres impresos per a la recollida de les dades.
S'estima la reclamació de tutela del dret d'accés, atès que el responsable de fitxer no va efectiu el dret en rebre la sol·licitud d'accés, i no ho va fer fins després de presentar-se la reclamació davant l'Autoritat, i un cop es va donar trasllat al responsable.
La recollida d’imatges i sons a partir de les quals es pugui identificar persones físiques, amb motiu de la recollida de proves vinculades a denúncies o actes d’inspecció, constitueix un tractament sotmès a l’LOPD, encara que no es pugui qualificar com a videovigilància. En conseqüència, estarà sotmès als deures i obligacions establerts a la normativa de protecció de dades. Pel que fa a l’ús de càmeres de videovigilància per agents del CAR en espais exteriors per proporcionar seguretat als agents actuants davant de possibles agressions o intents d’agressió, ja sigui en les seves funcions de policia judicial o de policia administrativa especial, només seria possible en cas de comptar, si escau, amb l’autorització corresponent prevista en la normativa de videovigilància policial. Això determinaria els termes en què pot produir-se el tractament, incloent, si escau, la seva incorporació al Registre d’autoritzacions, i els termes en què caldria donar informació a les persones afectades.
La normativa de protecció de dades no impedeix l’accés per part del reclamant a la informació sobre la identitat dels candidats seleccionats en les diferents convocatòries per a la provisió de llocs de lliure designació de l’Ajuntament. En canvi, l’accés a la informació sobre els aspirants a aquests processos haurà d’esser facilitada de manera anonimitzada de manera que es preservi la seva identificació directa o indirecta.