L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona denunciant manifestava que al Centre de Control de Metro es gravaven totes les trucades i que supervisors i caps de línia hi podien accedir, sense justificació ni control. La denúncia s'arxiva un cop verificat que, tant la gravació com l'accés a les trucades, es duen a terme de conformitat amb la normativa de protecció de dades.
l'entitat denunciant es queixava que en un compte particular de Facebook es va publicar un decret d'alcaldia, abans de presentar-lo al ple. El decret contenia el nom i cognoms d'un regidor d'un grup municipal, el qual havia fet una sol·licitud a l'ajuntament en representació del seu grup. Es resol arxivar les actuacions, perquè esmentar en un decret d'alcaldia el nom i cognoms d'un regidor del consistori que actua en representació del seu grup no es pot considerar una infracció tipificada a la legislació sobre protecció de dades, encara que es publiqui sense anonimitzar. Pel que fa a la resta de dades que conté el decret, no tenen la consideració de dades personals, ja que fan referència a una persona jurídica, en concret a un grup municipal.
Una víctima de violència de gènere denuncia que l'escola de la seva filla utilitza una aplicació que gestiona les comunicacions entre el centre i la família i que comparteix les dades de xat amb el pare de la seva filla, sense que li ofereixin una altra opció.
Es declara que l'Ajuntament de Badalona ha comès una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.f, ambdós de l'RGPD, atès que la persona denunciant, a través de la seu electrònica va tenir accés al recurs presentat per una tercera persona, ja que en el moment de registrar el recurs es va introduir erròniament el DNI de la persona denunciant.
S'estima parcialment la reclamació, atès que el CSMA no va resoldre i notificar en termini la sol·licitud presentada per la persona reclamant i va lliurar la informació sol·licitada durant la tramitació d'aquest procediment de tutela de drets.
La persona denunciant exposava que s'havia publicat a internet un llistat amb noms, cognoms i DNI de persones admeses a un màster del curs 2010/2011, entre les quals constava la persona denunciant. El procediment s'arxiva, en no haver-se pogut acreditar que la publicació s'hagi produït dins del termini màxim de prescripció de tres anys, establert per la normativa de protecció de dades
Als efectes de la normativa de protecció de dades, no sembla que un tercer, que no té la condició de persona afectada (art. 4.1 RGPD), hagi de tenir accés a informació sobre el tractament de dades que du a terme un responsable, en uns termes més amplis o amb major grau de detall del que podria tenir una persona que sí té aquesta condició. Entre d’altres, sobre l’accés a informació elaborada pel DPD i informació sobre procediments, protocols i instruccions de gestió de dades personals, no es desprèn de la normativa una obligació específica de donar accés a la documentació elaborada pel DPD ni, per extensió, a altra documentació relativa a procediments o protocols de gestió en matèria de protecció de dades, tenint en compte que la reclamant no seria persona afectada als efectes de la normativa de protecció de dades. Sobre l’accés a la informació relativa a les TID, tenint en compte la naturalesa, funcions i estructura organitzativa de l’entitat, aquesta podria indicar quines garanties o instruments dels previstos a l’RGPD (arts. 44 i seg.) habiliten les TID en funció del país de destinació, sense que sembli necessari ni exigible concretar amb major detall aquesta qüestió.
El reclamant es queixava que l'entitat no havia atès la seva sol·licitud d'exercici del dret de supressió del número de telèfon mòbil particular i d'oposició a rebre trucades o missatges de feina en aquest telèfon. Es resol estimar la reclamació, perquè l'entitat no ha acreditat que hagi respost la sol·licitud del reclamant en temps i forma, ni tampoc amb posterioritat. No hi ha pronunciament sobre el fons, perquè en les seves al·legacions l'entitat reconeix que va atendre per via telefònica els drets exercits, si bé no va notificar-ho formalment al reclamant.