L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El programa que utilitza l'ICS per generar els justificants de visita mèdica està configurat de manera que, per defecte, tots els justificants indiquen el servei o la unitat que ha atès la persona usuària que el demana; aquest camp no es pot modificar ni excloure. En aquest cas, n'hi havia prou que el justificant de visita indiqués el nom i cognoms de la persona denunciant, el centre assistencial on es va produir la visita i el dia i l'hora de la visita mèdica, així com l'hora de sortida, sense indicar la unitat concreta que l'havia atès. Escau requerir a l'ICS que elabori i tingui a disposició de les persones usuàries un model alternatiu de certificat o justificant de visita que no inclogui el nom de la unitat o del servei que ha atès la persona usuària.
Els actes integrants d'un procediment selectiu s’han de publicar (art. 45.1.b LPAC), inclosa la llista d'admesos i exclosos (art. 22 Decret 28/1986). Les persones afectades s'han d’identificar mitjançant el nom i cognoms i amb quatre xifres numèriques aleatòries del DNI (DA7 LOPDGDD).
S'estima parcialment la reclamació, atès que la Institució Tres Torres SA (ITT) no va respondre en termini la sol·licitud. S'indica que la ITT actuava com a sotsencarregada del tractament per compte d'EPONO 2017 SL. Tanmateix, atès que no va comunicar l'entrada d'aquesta petició a l'encarregada del tractament, va esdevenir la responsable del tractament i l'obligada a respondre. Quant al fons, no fa cap pronunciament atès que la informació s’ha facilitat en el marc d'aquest procediment i, per tant, s'han esvaït els motius de discrepància jurídica.
La persona reclamant va presentar una sol·licitud davant la DGP, en què demanava la supressió de certes dades relatives a unes determinades diligències policials. La DGP va denegar la supressió de les dades, atès que la persona reclamant havia aportat un certificat judicial de sobreseïment provisional i la DGP considera que això no deixa definitivament tancat el procés, perquè es pot reobrir en qualsevol moment, si apareixen proves suficients per demostrar que s’ha comès un delicte o la culpabilitat dels processats, i fins a la prescripció dels fets. S'estima parcialment i es requereix a la DGP perquè faci una anotació en l'àmbit del sistema d'informació policial (SIP).
Es queixa que l'ajuntament no li ha contestat la sol·licitud de supressió d'un recull de premsa en relació amb una notícia sobre la reclamant, publicat a la pàgina web de l'ajuntament. Es dicta resolució en què s’estima parcialment la reclamació.
Es resol arxivar la denúncia, atès que el tractament de les dades personals referides al cognom d'un pacient i el número d'habitació, així com la identificació de la persona visitant, no constitueix una infracció de l'RGPD. Es considera que aquesta operació pot ser necessària per raons sanitàries i de prevenció de riscos laborals (art. 6.1. c i e RGPD). Tampoc s'efectua cap imputació per l'eventual manca de mesures de seguretat per part del personal que controla els accessos, que custodia aquestes dades, atès que, a banda de les manifestacions de la denunciant, no es disposa de cap altre element que permeti corroborar-ho i l'entitat ha argumentat de manera suficient que pren mesures adequades per protegir els titulars de les dades.
S'estima la reclamació, atès que l'ICS no va respondre en termini la sol·licitud. Quant al fons, no cal efectuar cap pronunciament, atès que en el marc d'aquest procediment s'ha suprimit la informació que n'era objecte.
Es declara que l'ajuntament ha vulnerat el principi de licitud, atès que tractava les dades dels seus treballadors (l'adreça electrònica professional i la data de naixement) per enviar-los felicitacions d'aniversari, sense tenir-ne el consentiment ni cap altra base jurídica que legitimés aquest tractament. Durant la fase d'informació prèvia, l'ajuntament va acreditar que havia desactivat el sistema d'enviament automàtic de correus electrònics als seus treballadors.
S'arxiva la queixa contra l'ajuntament perquè, en un pla d'avaluació de riscos psicosocials, va comunicar dades personals excessives a l'empresa contractada per fer una enquesta en línia sobre prevenció. La comunicació es va produir en el marc d'un contracte d'encarregat del tractament i les dades personals traspassades eren les mínimes necessàries perquè l'empresa pogués prestar el servei contractat.
Es resol declarar que l'Ajuntament de Ripollet ha comès 4 infraccions de la normativa de protecció de dades personals, atès que no ha executat l'AIPD necessària, en relació amb el tractament de dades personals que duu a terme per prestar el servei de recollida de residus porta a porta; no ha complert el deure d'informar les persones usuàries del servei en la recollida inicial del material; no ha signat un contracte d'encarregat del tractament; i recull informació excessiva, a partir del formulari d'alta a la bústia de tèxtil sanitari.