L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es resol declarar que l'Ajuntament de Barcelona va vulnerar el principi de licitud (art. 5.1.a RGPD) atès que va tractar les dades personals d'agents de la Guàrdia Urbana (número de telèfon personal) per enviar comunicacions "no formals" per mitjà d'un grup de WhatsApp. A més, tots els participants del grup van poder accedir al número de mòbil privat, foto de perfil i nom d'usuaris de la resta de membres. Aquesta actuació també va suposar la vulneració de l'article 25 RGPD, atès que no es van adoptar mesures per protegir les dades des del disseny.
La denunciant es queixava que el seu nom i cognoms apareixien juntament amb una sèrie de valoracions sobre aspectes psicològics en un treball publicat en el repositori de la UOC. Es sanciona l'entitat amb una multa econòmica per la vulneració del principi de minimització, per haver publicat en el repositori de la universitat un treball de fi de grau (TFG) que contenia nombroses dades, algunes d'especial protecció, que fan referència als alumnes de dues aules d'un IES. S'arxiva pel que fa a l'extracció de dades per part de l'IES, ja que es va produir l'any 2000 i, en cas d'infracció, hauria prescrit. També s'arxiva per una 2a publicació acadèmica elaborada a partir de l'estudi controvertit, ja que no s'ha acreditat que en aquesta hi constin dades sense anonimitzar. Sanció imposada: 13.000€
El denunciant es queixa que la seva exparella ha accedit indegudament a la seva HC, sense el seu permís. Per altra banda, el CSI manifesta que el professional hi va accedir durant el període de temps en què el denunciant i el professional eren parella, però no aporta el consentiment explícit del pacient. Es resol que s’ha vulnerat el principi de confidencialitat.
La Policlínica Comarcal del Vendrell no va respondre en termini la sol·licitud d'accés a la història clínica del fill de la reclamant. L'entitat va respondre en rebre el trasllat de l’APDCAT i li va lliurar la història clínica sol·licitada. Resolució d'estimació parcial.
La denunciant es queixava sobre els accessos a la seva història clínica, que consten en el registre d'accessos que l'ICS li havia entregat. La legislació sanitària preveu que els professionals que realitzen funcions administratives i de gestió sanitària puguin accedir, només, a les dades de la història clínica relacionades amb aquestes funcions. En aquest cas, a banda de les manifestacions de la denunciant, no hi ha prou indicis per determinar que els treballadors descrits accedissin a cap base de dades a la qual no poguessin accedir per raó de les seves funcions professionals. No obstant això, escau recordar a l'ICS que ha d'adoptar les mesures tècniques i organitzatives adequades per demostrar el motiu o la causa dels accessos a la història clínica dels pacients atesos en els centres de l'ICS, en cada cas concret. El principi de responsabilitat proactiva i demostrable exigeix que el responsable del tractament compleixi els principis de protecció de dades i integri les garanties necessàries del tractament.
Una persona que prestava serveis al Consorci Sanitari del Maresme amb la categoria professional d'administrativa va efectuar 29 accessos no justificats a la història clínica del denunciant. A través dels accessos esmentats, es va accedir a dades de salut del denunciant que contenien diversos informes mèdics, l'historial de visites, consultes sobre proves i dades d'hospitalització. Es proposa declarar que l'entitat ha comès una infracció del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD
Es requereix al DPD del SOC la supressió d'un missatge de correu electrònic enviat pel reclamant i reenviat per personal del SOC a 12 adreces corporatives, també del SOC. La resposta del SOC és en dues fases: al juliol se certifica la supressió del missatge en 9 bústies de correu, mentre que a les 3 restants es farà quan aquestes persones s'incorporin d'una baixa o vacances. Es resol que s’ha respost en termini; es té en compte la primera resposta, que per motius de força major no es va poder respondre completament (baixa o vacances dels titulars de les bústies de correu-e) i això va motivar una segona resposta.
La denunciant es queixa que el centre mèdic ha emès dos informes, en els quals hi consta un antecedent patològic que no es basa en cap evidència mèdica. L'entitat ha reconegut els fets i ha corregit els informes. Es prepara resolució definitiva per vulneració del principi d'exactitud.
L'ICS va enviar a la persona denunciant avisos de cites mèdiques d'una tercera persona, perquè havia recollit erròniament la dada del telèfon mòbil. Es tracta d'un supòsit de concurs ideal d'infraccions, atès que, si bé l’ICS ha comès infraccions diferenciades, hi ha una connexió directa entre elles, pel fet que el tractament de dades inexactes en el sistema ECAP d'atenció primària i en el sistema SAP ARGOS d'atenció hospitalària ha comportat la vulneració del deure de confidencialitat que és objecte d'imputació.