L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
La persona reclamant demanava la supressió de les seves dades personals que consten a la publicació de la llista definitiva de persones aspirants excloses d'un procés selectiu. Escau estimar la reclamació, perquè el Departament no va resoldre i notificar en forma i en termini la sol·licitud. Escau requerir al Departament que retiri la publicació de la llista definitiva de persones aspirants excloses, a l'efecte de satisfer el dret de supressió exercit i complir el principi de limitació del termini de conservació (art. 5.1.e RGPD).
Es resol declarar que, amb anterioritat al 05/03/2023, l'HCB no havia implementat les mesures de seguretat -tècniques i organitzatives- adequades per garantir un nivell de seguretat adequat al risc dels tractaments de dades personals que duia a terme. Tampoc havia realitzat una anàlisi de riscos per definir les mesures de seguretat requerides, tal com exigeixen els apartats 1r i 2n de l'article 32 RGPD. La plataforma informàtica que va ser objecte de ciberatac emmagatzemava informació de l'HCB i també d'altres entitats vinculades (Barnaclínic SA, CAPSBE i la FRCB-IDIBAPS); per tant, el volum i sensibilitat de la informació exigien una especial diligència en la seva custòdia i seguretat.
L'Ajuntament va lliurar còpia d'un expedient a un interessat, en el qual per error s'adjuntaven dues nòmines d'una tercera persona. S'imputa una infracció de l'article 83.5.a de l'RGPD, per vulneració del principi establert a l'article 5.1.f del mateix RGPD.
Diverses persones denunciants es queixen que van rebre un missatge electrònic a través de l'aplicació TokApp, sense que haguessin consentit que l'entitat denunciada cedís les seves dades a l'empresa titular de l'aplicació. S'arxiven les actuacions prèvies IP 424/2023, IP 425/2023, IP 409/2024, IP 410/2024 i IP 411/2024 perquè no es considera una comunicació de dades, ja que es tracta d'una relació contractual entre el responsable i l'encarregat del tractament.
Vulneració del principi de confidencialitat per part de l'ajuntament, per revelar a una entitat una queixa contra ella juntament amb la identificació de la persona que la va interposar.
La denunciant es queixava que en la resolució dictada en el context de la revocació d'una mesura de protecció d'acolliment simple d'un menor s'hi ha inclòs informació innecessària per a la seva finalitat. La resolució es va notificar íntegrament als progenitors del menor i aquests van conèixer la informació controvertida, de caràcter psicosocial, referida a la denunciant. Es declara que s'ha vulnerat el principi de minimització de dades (art. 83.5.a RGPD).
La persona reclamant es queixava de la manca d'atenció del Departament de Justícia, en relació amb la seva petició de supressió de les dades relatives al seu segon ingrés en un centre penitenciari. El Departament va estimar la seva sol·licitud mitjançant la limitació del tractament de les seves dades, atès que amb caràcter general s'han de conservar per un període màxim de 20 anys. S'estima parcialment la reclamació, atès que el Departament de Justícia no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que el departament ha estimat la sol·licitud de supressió mitjançant la limitació de les dades. Es requereix el Departament perquè en el termini de 10 dies, comptadors a partir de l'endemà de la notificació del seu escrit, acrediti que ha notificat o intentat notificar per segona vegada el seu escrit de resposta a la persona reclamant.