L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es desestima la reclamació, atès que la persona interessada no va esmenar la sol·licitud a requeriment del responsable del tractament i, en conseqüència, no va formalitzar degudament la seva petició. En concret, se la instava a indicar el motiu, relacionat amb la seva situació particular, pel qual exercia el dret d'oposició en relació amb el tractament de dades personals per part dels professionals d'un centre mèdic concret (art. 21 RGPD). Tanmateix, com a afegitó, la resolució fa constar que, perquè un professional pugui accedir a categories especials de dades personals, cal apreciar algun dels supòsits de l'article 9.2 RGPD, sense que la circumstància referida als tractaments necessaris per protegir interessos vitals de la persona interessada pugui habilitar el tractament, quan la persona interessada no està incapacitada físicament o jurídicament per prestar el consentiment.
L'escola va publicar la imatge d'un alumne al seu Instagram, sense el consentiment d'un dels progenitors, que havia indicat expressament que no autoritzava la publicació de les imatges a les xarxes socials del centre.
El reclamant es queixa que s’han modificat dades d’un expedient de trànsit que l’afecta i sol·licita el registre d’accessos. L'Ajuntament respon que les modificacions són a causa d'un error informàtic. S’estima la reclamació.
El denunciant es queixava que la Guardia Urbana de Barcelona havia facilitat un atestat policial relatiu a un accident de circulació en què es va veure implicat a l'empresa en què treballava, Transports de Barcelona. Exposava que en aquest atestat figuraven dades personals seves de salut i que, en base a aquestes, l'empresa el va acomiadar. Es dicta resolució d'arxivament perquè en aquest cas és d'aplicació l'article 6 en relació amb l'article 9.2b i g, tots dos de l'RGPD.
S’estima parcialment la reclamació formulada contra l'Institut Català de la Salut (ICS). Pel que fa a la forma, escau estimar-la atès que l'entitat no va respondre en termini la sol·licitud de la persona reclamant. Pel que fa al fons, escau desestimar-la, atès que la resposta de l'entitat es considera ajustada a dret. En síntesi, l'entitat va informar la persona reclamant que el diagnòstic controvertit no es podia suprimir i que calia conservar-lo com a diagnòstic inactiu a la seva història clínica.
L'objecte de reclamació no és el dret d'accés regulat a l'article 15 de l'RGPD, atès que la persona afectada no pretén accedir a informació sobre les seves dades personals, sinó sobre un altre tipus d'informació en poder de l'entitat reclamada.
La persona reclamant es queixa que la Direcció General de la Policia del Departament d'Interior de la Generalitat de Catalunya (DGP) no ha atès la seva petició d'accés a dades d'antecedents policials. S'estima parcialment la reclamació, atès que la DGP no va respondre en termini la sol·licitud. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat fer efectiu el dret d'accés (també ho ha comunicat la persona reclamant).
El COMB, en el marc de la tramitació d'un dret d'accés a un expedient, va facilitar còpia de certificats de notificació de correus, que contenien dades personals dels receptors de les notificacions.
La reclamant es queixa que l'informe que se li ha facilitat és incomplet. Manifesta que hi haurien d'haver molts més accessos, perquè s'ha visitat amb facultatius que no consten en la relació d'accessos facilitada. S’estima parcialment la reclamació, per haver resolt fora de termini. Pel que fa al fons, es constata que l'ICS va posar a disposició de la reclamant tots els accessos efectuats per l'entitat i centres dependents. Els accessos que, segons la reclamant, mancaven són d'altres entitats, fora de l'àmbit de responsabilitat de l'ICS.
Es resol que l'Ajuntament de La Canonja ha vulnerat l'article 5.1.a de l'RGPD, atès que l'entitat no disposa de cap base jurídica que legitimi el tractament de dades biomètriques dels seus treballadors. També la vulneració de l'article 35 de l'RGPD, perquè no havia fet una avaluació d'impacte en matèria de protecció de dades. A més, es requereix a l'entitat que posi a disposició del seu personal un sistema alternatiu de control horari, que no comporti el tractament de categories especials de dades.