L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La denunciant, treballadora de l'Ajuntament, es queixa que un document amb dades seves estava desada a sobre d'una màquina destructora a la vista de tothom. Es tracta d'una sentència del jutjat social en què aquella era la part demandant. Es dicta resolució d'arxivament per manca de proves que acreditin la responsabilitat del fet denunciat.
Es resol declarar que l'Ajuntament de Vilanova i la Geltrú ha vulnerat el principi de confidencialitat, atès que va publicar la queixa presentada per una tercera persona a la carpeta ciutadana del denunciant. Aquest fet va permetre al denunciant accedir a dades d'un tercer.
La denunciant es queixa que han accedit a la seva història clínica sense el seu consentiment. Durant la fase d'informació prèvia, ha quedat constatat que els accessos denunciats es van realitzar per respondre a la sol·licitud de traçabilitat presentada per la denunciant. Per això, es dicta resolució d'arxivament.
Correspon inadmetre la reclamació, atès que l'Autoritat no és competent en relació amb els tractaments de dades personals que es duen a terme en el marc de procediments judicials, i traslladar-la al Consell General del Poder Judicial (CGPJ).
En el marc d'un procediment d'assignació de places del servei d'assistència tècnica (SAT), el Consell Comarcal va trametre un decret a 5 persones funcionàries i a diverses entitats dades excessives (DNI de 5 persones) i la còpia d'un recurs el qual contenia l'adreça d'un funcionari. Es declara que l'entitat ha vulnerat el principi de minimització de dades, infracció tipificada a l'article 83.5.a, en relació amb l'article 5.1.c, ambdós de l'RGPD.
A priori, demanar a les persones usuàries que ensenyin el seu DNI per accedir a les instal·lacions de la piscina no seria un tractament de dades excessiu ni contrari al principi de minimització de dades personals, quan calgui verificar l'edat i el domicili i no es disposi del certificat d'empadronament o de la documentació necessària per acreditar-ho. S’arxiva la denúncia perquè, a banda de les manifestacions de la persona denunciant, no es disposa de cap altre element que permeti corroborar que l'Ajuntament o l'empresa concessionària recollissin aquestes dades
Es declara que l'Institut Català de la Salut, ha comès una infracció tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD, atès que un metge va accedir indegudament a la història clínica del sistema públic amb finalitats d'assistència mèdica privada.
La denunciant es queixava de 60 accessos indeguts a les seves dades mèdiques efectuats des de centres diversos. Durant la fase d'investigació, l'entitat denunciada ha justificat els accessos, per la qual cosa no ha resultat acreditat l'existència d'infracció.