L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
L'Ajuntament de Cubelles va ser víctima d'un ciberatac al mes d'abril de 2023. Arran de les actuacions d'inspecció dutes a terme per l'Autoritat, s'ha constatat que les mesures de seguretat que l'Ajuntament havia implementat abans del ciberatac no eren les adequades als riscos. Així mateix, es va constatar que l'entitat tampoc havia fet una anàlisi dels riscos. D'acord amb aquests fets, es resol declarar que l'Ajuntament ha comès les infraccions recollides als articles 32.1 i 32.2 de l'RGPD.
La persona denunciant exposava que el tràmit de l'oficina virtual municipal que va utilitzar per domiciliar el pagament de l'impost d'escombraries de l'any 2024 no estava en blanc, sinó que contenia les dades personals de la persona que havia pagat l'impost prèviament. Concretament, el nom i cognoms, el número de DNI i les dades bancàries. Les mesures tècniques i organitzatives vigents l'any 2024 i actualment, aplicades al tràmit de l'oficina virtual que s'utilitza per pagar o domiciliar el pagament d’aquest impost, estan configurades de manera que el contribuent que és l'únic que pot accedir i consultar les dades del titular actual, mitjançant el tràmit de l'oficina virtual, prèvia identificació electrònica. El titular actual no pot accedir a les dades dels titulars anteriors.
Escau advertir el responsable del tractament que el fet de lliurar la documentació o informació que conté dades personals, en mà i sense ensobrar, podria constituir una vulneració del principi de confidencialitat. La documentació que contenia informació personal es va entregar a la persona titular de les dades, directament. Segons les manifestacions de l'entitat denunciada, la informació no va estar a l'abast general. Es conclou que la conducta descrita no té prou entitat per considerar-la constitutiva d'alguna de les infraccions previstes a la legislació sobre protecció de dades.
L’expedient d’informació reservada sol·licitat va finalitzar amb l’acord d’inici d’un expedient disciplinari contra la persona investigada, per aquest motiu en aplicació de l’article 23 de l’LTC, cal denegar l’accés a la informació relacionada amb la persona investigada, llevat que la sol·licitud s’hagués acompanyat amb el seu consentiment exprés i per escrit.
Tanmateix, la persona reclamant té dret a accedir a la informació de l’expedient que faci referència a la seva persona, incloses les dades de categories especials i, en principi, a la informació aportada sobre ella tant per la persona investigada com pels possibles testimonis, llevat que respecte d’aquestes terceres persones concorrin circumstàncies concretes que en justifiquin la limitació.
El denunciant es queixava que una incidència en el funcionament del canal previst per l'entitat per exercir els drets ARSOPOL impedia exercir-lo. S'arxiven les actuacions, perquè l'entitat ha acreditat que la incidència detectada no afectava els usuaris del canal, sinó al reenviament automatitzat dels missatges que rebia l'entitat al seu DPD extern. L'entitat va solucionar la incidència quan en va tenir coneixement.