L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona denunciant exposava que s'havia manipulat la seva història clínica. Concretament, assenyalava que el diagnòstic de les lesions que va patir en un accident no era correcte i que les imatges que hi constaven eren borroses i estaven tallades. Durant la tramitació de la reclamació, l'hospital va acreditar que la informació de la història clínica de la persona reclamant era correcta, que no hi havia hagut cap modificació posterior a la data de l'accident i que les imatges no eren borroses ni estaven tallades. S'arxiva el procediment, atès que no es pot atribuir a l'hospital cap fet punible des del punt de vista de la protecció de dades ni cap la responsabilitat pels fets denunciats i no acreditats.
Es declara que el Consorci de Benestar Social del Ripollès ha comès la infracció tipificada a l'article 83.5.a, en relació amb l'article 5.1.c, per haver publicat al seu web l'acta del desembre del 2020 de la Junta del CSBR en la qual hi constava la relació de noms, cognoms i DNI complet de les persones a les quals es va subrogar el contracte de treball i van passar a prestar serveis a l'empresa SUMAR
Es resol declarar que l'Ajuntament de Barcelona va vulnerar el principi de licitud (art. 5.1.a RGPD) atès que va tractar les dades personals d'agents de la Guàrdia Urbana (número de telèfon personal) per enviar comunicacions "no formals" per mitjà d'un grup de WhatsApp. A més, tots els participants del grup van poder accedir al número de mòbil privat, foto de perfil i nom d'usuaris de la resta de membres. Aquesta actuació també va suposar la vulneració de l'article 25 RGPD, atès que no es van adoptar mesures per protegir les dades des del disseny.
Un treballador de l'empresa RENFE Viajeros va publicar la sol·licitud d'alta de la T-Mobilitat d'una tercera persona, a l'àrea privada del denunciant del web de l'ATM. Aquest fet va propiciar que el denunciant pogués accedir a dades personals d'un tercer, fet que va vulnerar el principi de confidencialitat. Així mateix, també es constata que, en el moment dels fets, l'ATM i Renfe no disposaven d'un contracte d'encarregat del tractament. Per l'exposat, es resol declarar que l'ATM ha vulnerat el principi de confidencialitat atès que com a responsable del tractament no va vetllar per la protecció de les dades; i l'article 28 RGPD, atès que no disposava d'un contracte d'encarregat del tractament amb l'empresa que publicava les sol·licituds d'alta a la T-Mobilitat
La denunciant es queixava que el seu nom i cognoms apareixien juntament amb una sèrie de valoracions sobre aspectes psicològics en un treball publicat en el repositori de la UOC. Es sanciona l'entitat amb una multa econòmica per la vulneració del principi de minimització, per haver publicat en el repositori de la universitat un treball de fi de grau (TFG) que contenia nombroses dades, algunes d'especial protecció, que fan referència als alumnes de dues aules d'un IES. S'arxiva pel que fa a l'extracció de dades per part de l'IES, ja que es va produir l'any 2000 i, en cas d'infracció, hauria prescrit. També s'arxiva per una 2a publicació acadèmica elaborada a partir de l'estudi controvertit, ja que no s'ha acreditat que en aquesta hi constin dades sense anonimitzar. Sanció imposada: 13.000€
El denunciant es queixa que la seva exparella ha accedit indegudament a la seva HC, sense el seu permís. Per altra banda, el CSI manifesta que el professional hi va accedir durant el període de temps en què el denunciant i el professional eren parella, però no aporta el consentiment explícit del pacient. Es resol que s’ha vulnerat el principi de confidencialitat.
Es resol declarar que l'Ajuntament de Vilanova i la Geltrú ha vulnerat el principi de confidencialitat, atès que va publicar la queixa presentada per una tercera persona a la carpeta ciutadana del denunciant. Aquest fet va permetre al denunciant accedir a dades d'un tercer.
L'ICS va enviar a la persona denunciant avisos de cites mèdiques d'una tercera persona, perquè havia recollit erròniament la dada del telèfon mòbil. Es tracta d'un supòsit de concurs ideal d'infraccions, atès que, si bé l’ICS ha comès infraccions diferenciades, hi ha una connexió directa entre elles, pel fet que el tractament de dades inexactes en el sistema ECAP d'atenció primària i en el sistema SAP ARGOS d'atenció hospitalària ha comportat la vulneració del deure de confidencialitat que és objecte d'imputació.