L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol declarar que l'Ajuntament de Vilanova i la Geltrú ha vulnerat el principi de confidencialitat, atès que va publicar la queixa presentada per una tercera persona a la carpeta ciutadana del denunciant. Aquest fet va permetre al denunciant accedir a dades d'un tercer.
Una persona que prestava serveis al Consorci Sanitari del Maresme amb la categoria professional d'administrativa va efectuar 29 accessos no justificats a la història clínica del denunciant. A través dels accessos esmentats, es va accedir a dades de salut del denunciant que contenien diversos informes mèdics, l'historial de visites, consultes sobre proves i dades d'hospitalització. Es proposa declarar que l'entitat ha comès una infracció del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD
La denunciant es queixa que han accedit a la seva història clínica sense el seu consentiment. Durant la fase d'informació prèvia, ha quedat constatat que els accessos denunciats es van realitzar per respondre a la sol·licitud de traçabilitat presentada per la denunciant. Per això, es dicta resolució d'arxivament.
Es declara que l'Institut Català de la Salut, ha comès una infracció tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD, atès que un metge va accedir indegudament a la història clínica del sistema públic amb finalitats d'assistència mèdica privada.
La denunciant es queixava de 60 accessos indeguts a les seves dades mèdiques efectuats des de centres diversos. Durant la fase d'investigació, l'entitat denunciada ha justificat els accessos, per la qual cosa no ha resultat acreditat l'existència d'infracció.
A priori, demanar a les persones usuàries que ensenyin el seu DNI per accedir a les instal·lacions de la piscina no seria un tractament de dades excessiu ni contrari al principi de minimització de dades personals, quan calgui verificar l'edat i el domicili i no es disposi del certificat d'empadronament o de la documentació necessària per acreditar-ho. S’arxiva la denúncia perquè, a banda de les manifestacions de la persona denunciant, no es disposa de cap altre element que permeti corroborar que l'Ajuntament o l'empresa concessionària recollissin aquestes dades
En el marc d'un procediment d'assignació de places del servei d'assistència tècnica (SAT), el Consell Comarcal va trametre un decret a 5 persones funcionàries i a diverses entitats dades excessives (DNI de 5 persones) i la còpia d'un recurs el qual contenia l'adreça d'un funcionari. Es declara que l'entitat ha vulnerat el principi de minimització de dades, infracció tipificada a l'article 83.5.a, en relació amb l'article 5.1.c, ambdós de l'RGPD.
Correspon inadmetre la reclamació, atès que l'Autoritat no és competent en relació amb els tractaments de dades personals que es duen a terme en el marc de procediments judicials, i traslladar-la al Consell General del Poder Judicial (CGPJ).