L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona denunciant es queixa de l'enviament de correus sense còpia oculta per part de l'empresa d'aigües a 52 destinataris, sense que hi hagi una causa que justifiqui la difusió de les seves dades. Es prepara proposta de resolució per vulneració del principi de confidencialitat, amb sanció econòmica.
La denunciant es queixa que el Departament d'Educació i Formació Professional ha notificat una resolució amb dades personals seves i del seu fill a una tercera persona que res tenia a veure amb el procediment administratiu que va donar lloc a la resolució. Es dicta resolució definitiva per vulneració del principi de confidencialitat.
La denunciant es queixava perquè l'ATC li va notificar la liquidació d'un impost en una adreça d'una altra comunitat autònoma. L'entitat va al·legar que la notificació es va dur a terme a l'adreça fiscal de la persona denunciant que, segons constava al Cens Únic de Contribuents (CUC), era a Castella Lleó. D'acord amb la normativa tributària, atès que el tractament estava legitimat per a l'exercici dels poders públics conferits a l'ATC, escau resoldre l'arxivament de les actuacions.
La persona denunciant manifestava que una metgessa forense havia accedit a dades personals seves relatives a uns procediments judicials per fer un informe, sense estar-hi legitimada. Tanmateix, es conclou que el tractament, en compliment d'un mandat judicial i emparat per la normativa al·legada per l'IMLCFC, és conforme a la normativa de protecció de dades. També denunciava que un psiquiatre pogués vulnerar el codi deontològic per actuar com a pèrit judicial dels pacients que visita; també s’arxiva, atès que no correspon a aquesta Autoritat pronunciar-se sobre una possible vulneració del codi deontològic per la pràctica d'un psiquiatre.
Una treballadora de l'entitat va demanar l'accés a les seves dades personals que tractava una assessoria laboral que havia contractat l'Ajuntament; també s'oposava a aquest tractament. Es resol estimar parcialment la reclamació, perquè l'ajuntament va resoldre i notificar extemporàniament. Pel que fa al fons, la resposta de l'ajuntament es considera conforme, ja que va donar accés a les dades que s'estaven tractant i perquè l'assessoria té la condició d'encarregada del tractament.
Es declara que s'ha vulnerat el principi de confidencialitat, perquè l'equip directiu de l'escola va enviar un correu electrònic a 77 destinataris sense utilitzar l'opció de còpia oculta
La persona denunciant exposava que, per mitjà del sistema de recollida de residus "porta a porta", l'Ajuntament de Matadepera vinculava les escombraries amb les persones generadores dels residus, fet que considera que contravé la normativa de protecció de dades personals. En el marc de les actuacions d'investigació que va iniciar l'Autoritat no es va constatar que, en l'execució d'aquest servei, es vulnerés l'RGPD o l'LOPDGDD. De fet, el tractament de dades personals controvertit està emparat per l'article 6.1 RGPD, atès que és necessari en l'exercici dels poders públics atribuïts als ens locals. Al seu torn, la normativa sectorial atribueix als ajuntaments la competència exclusiva en matèria de recollida de residus, mentre que la Llei 7/2022, de residus i sòls contaminats, estableix que cal prioritzar els models de recollida més eficients, com ara el porta a porta. Es resol arxivar les actuacions, atès que el tractament denunciat és lícit conforme l'RGPD.
Es resol declarar que l'Ajuntament de Vilassar de Mar ha infringit el principi de licitud (art. 5 RGPD) atès que empra un sistema de control horari per mitjà de l'empremta dactilar, que implica el tractament de dades biomètriques del seu personal funcionari i laboral, sense disposar d'una base jurídica legitima. Així mateix, també es declara que l'Ajuntament ha infringit l'art 35 RGPD, per no haver realitzat una avaluació d'impacte de protecció de dades (AIPD) amb motiu de la implantació del sistema de control horari, per mitjà de l'empremta dactilar; i perquè va vulnerar l'art. 37 RGPD atès que no disposava d'un delegat de protecció de dades personals.
Atès que la persona reclamant assenyala que no ha pogut descarregar la informació i presenta al·legacions, es requereix al Consorci Sanitari de l'Anoia que torni a posar a disposició de la persona reclamant aquesta informació. Alhora, s'informa la persona reclamant que, si vol accedir a més informació, presenti noves sol·licituds davant dels responsables del tractament, sens perjudici que si aquestes sol·licituds no s'atenen dins del termini legalment establert, o considera que la informació que rep no és completa, pot tornar a presentar davant d'aquesta Autoritat una reclamació per cada sol·licitud d'accés desatesa.