L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
Es declara que l'Ajuntament ha comès 3 infraccions: 1) Una infracció per fer ús d'algunes galetes que tracten dades personals, sense haver-ne informat prèviament; 2) Una altra infracció per fer ús de galetes no necessàries, sense haver recollit el consentiment; i 3) Una tercera infracció per no publicar al web tota la informació del RAT.
D'altra banda, a l'acord d'iniciació es van arxivar els fets denunciats relatius a: 1) Manca de política de privacitat: es va arxivar perquè la informació figurava publicada al web, tot i que amb un terme diferent, però vàlid; 2) Manca d'avís legal: es va arxivar perquè, en aquest apartat d'un web, no s'inclou la informació que requereix la normativa de protecció de dades; i 3) Omissió de la informació del RAT en el portal de transparència: es va arxivar, atès que la norma només obliga a fer-ho públic per mitjans electrònics; 4) Omissió de la informació referent al delegat de protecció de dades: es va arxivar atès que no cal publicar-hi el nom i cognoms.
El denunciant es queixa que al Facebook d'un grup municipal s'ha publicat la notícia que s'ha interposat un recurs contra l'acord d'aprovació d'un conveni, i que aquesta notícia s'acompanya amb una imatge del conveni impugnat on consten els noms i cognoms de les parts signants. S'acorda arxivar la denúncia, perquè la normativa de transparència preveu que els convenis es publiquin amb la identificació de les parts i, per tant, aquestes dades ja eren públiques. D'altra banda, es trasllada a l'AEPD la part dels fets relatius a una eventual republicació d'aquesta mateixa notícia al Facebook personal de dos regidors del grup municipal.
Es resol declarar que l'Ajuntament de Piera ha vulnerat el principi de minimització, atès que va publicar la llista d'admesos i exclosos d'un procés selectiu en què va identificar les persones excloses provisionalment amb nom, cognoms i DNI complet. En relació amb això, la DA 7 LOPDGDD disposa que només s'han de publicar quatre xifres del DNI i la identitat de les persones afectades. En conseqüència, es conclou que la publicació de dades excessives va vulnerar l'article 5.1.c RGPD.
Aquesta denúncia està vinculada a una reclamació d'exercici del dret d'accés presentada davant d'aquesta Autoritat, que tenia per objecte obtenir una còpia de la història clínica del reclamant. A la vegada, presenta una denúncia contra l'ICS per haver esborrat dos informes mèdics de la seva HC3. En fase d'informació prèvia aquesta Autoritat confirma que un d'aquests informes figura a l'HC3, però amb una data posterior, atès que l'ICS va modificar l'informe, a petició del mateix denunciant. La data del segon informe que reclama no es correspon amb cap assistència mèdica, sinó amb la data d'un correu electrònic de l'ICS en què responia una petició de rectificació. S'arxiva la denúncia.
S’arxiva la denúncia per la revelació d'informació sobre una menor a terceres persones durant una reunió, perquè tots els assistents coneixien aquesta informació abans de la reunió i no es disposa de cap element que permeti acreditar que l'institut ha vulnerat la normativa de protecció de dades. En relació amb l'eventual accés, visualització i descàrrega del contingut emmagatzemat al telèfon mòbil de la menor, tampoc hi ha cap element que permeti acreditar que l'institut ha comès una infracció de la normativa de protecció de dades. Per tant, escau aplicar el principi de presumpció d'innocència i arxivar els fets denunciats.
S'acorda iniciar un procediment sancionador contra l'ajuntament, perquè té publicada a la seu electrònica l'audioacta completa del Ple municipal, durant el qual un regidor va fer unes manifestacions que tractaven de dades personals relatives a un expedient disciplinari obert contra el cap de la Policia local.
El denunciant es queixa que al Facebook d'un grup municipal s'ha publicat la notícia que s’ha interposat un recurs contra l'acord d'aprovació d'un conveni, i que aquesta notícia s'acompanya amb una imatge del conveni impugnat on consten els noms i cognoms de les parts signants. S'acorda arxivar la denúncia, perquè la normativa de transparència preveu que els convenis es publiquin amb la identificació de les parts i, per tant, aquestes dades ja eren públiques. D'altra banda, es trasllada a l'AEPD la part dels fets relatius a una eventual republicació d'aquesta mateixa notícia al Facebook personal de dos regidors del grup municipal.
El denunciant es queixa que, en el marc d'un procés de selecció de personal funcionari, la DGFP va traslladar dades personals a una tercera empresa. La DGFP acredita que es tracta d'un encarregat de tractament i que, per tant, no és una comunicació de dades.
La persona reclamant demanava accedir a la traçabilitat de les seves dades, del CAP de Sants. Considerava que l'ICS no havia satisfet el seu dret, atès que li havia lliurat informacions contradictòries, no l'havia informat sobre la identitat de les persones que havien consultat les seves dades i no li havia facilitat la data d'extracció de la informació. L'Autoritat resol estimar parcialment la reclamació i requerir l'ICS perquè li faciliti la traçabilitat completa i perquè informi la reclamant sobre si hi ha hagut comunicacions a terceres persones, fora de l'àmbit del responsable del tractament. En darrer terme, respecte de la identitat de les persones que han accedit a les dades dins l'àmbit del responsable del tractament, s'argumenta que el dret d'accés de l'article 15.c RGPD no empara el dret de les persones interessades d'accedir a aquesta informació.
El denunciant es queixa perquè se li ha denegat l'exercici del dret d'accés perquè no el va sol·licitar mitjançant el tràmit adequat. L'interessat volia saber el motiu pel qual l'entitat va accedir a dades policials a través de la PICA, quan es tracta d'una persona resident fora de Catalunya. Es desestima la petició per motius formals, ja que va sol·licitar accedir a les dades a través d'una petició genèrica que no permet acreditar la identitat del sol·licitant. Pel que fa al fons, es considera que, quan ho demani de manera que permeti acreditar la seva identitat, té dret a obtenir les dades demanades.