L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
L'entitat no informava correctament sobre el tractament d'imatges captades per les càmeres de videovigilància instal·lades dins l'edifici de l'hospital.
Es resol desestimar la reclamació per desatenció del dret de supressió, ja que la reclamació es va presentar abans que finalitzés el termini prorrogat que l'entitat tenia per respondre la sol·licitud.
Es declara la comissió d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.c, ambdós de l'RGPD, per la vulneració del principi de minimització en incloure innecessàriament la dada del domicili en una notificació relacionada amb un expedient de constrenyiment.
S'acorda arxivar la denúncia, atès que el disseny del sistema d'autenticació dels alumnes que accedeixen a la classe en línia era correcte. El tercer aliè a l'IES que hi va accedir emprant el nom i cognom d'una alumna, i després va difondre un vídeo de contingut sexual, es va servir de l'engany per confondre el professor. D'altra banda, l'accés a la classe en línia no va comportar cap filtració ni accés a dades personals.
En el marc d'un procediment de tutela de drets, l'Autoritat va dictar una resolució per la qual reconeixia el dret de la persona reclamant a accedir a una gravació de la seva veu, corresponent a una trucada telefònica que aquesta persona havia fet a l'ajuntament. Posteriorment, l’ajuntament li va facilitar un enllaç a la plataforma WeTransfer, que permetia accedir a un arxiu -la gravació- amb una extensió .dat, però la persona reclamant va manifestar-li, sense èxit, que no hi podia accedir. L'Autoritat va tramitar un incident d'execució, en què va declarar que l'Ajuntament li havia de permetre un accés fàcil i permanent a la gravació, utilitzant un format d'ús comú. Llavors l'ajuntament va manifestar que ja no podia aportar la gravació, atès que no se n'havia quedat una còpia. Inicialment s'imputen a l'ajuntament una o dues infraccions molt greus: una, per haver impedit fer efectiu el dret d'accés de la reclamant; i una segona, per haver incomplert les resolucions de l'Autoritat.
La Fundació PM va enviar dos correus electrònics a diversos destinataris amb adreces corporatives de l'administració pública, en els quals adjuntava documents sobre si era escaient o no el retorn d'una persona a un centre gestionat per la Fundació. Aquest fet va comportar que es revelessin als destinataris d’aquests missatges les dades personals i de salut d'aquesta persona, contingudes als documents adjuntats.
S'estima la reclamació, atès que la Direcció General de la Policia del Departament d'Interior (DGP) no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.
L'ajuntament va cometre 2 infraccions: 1. Manca de contracte d'encarregat del tractament amb l'entitat contractada per prestar servei de DPD. 2. Vulneració del principi d'exactitud, perquè a la seu electrònica de l'Ajuntament van publicar de forma inexacta les dades de contacte del DPD. D'altra banda, s'arxiva el fet denunciat sobre els vicis en la tramitació del contracte d'externalització del servei de DPD, perquè es considera acreditat que, amb independència que la contractació del servei pogués incomplir algun requisit de forma previst a la normativa de contractació, la relació contractual entre l'ajuntament i l'empresa existia des d'un inici.
La comunicació al Síndic de Greuges de Catalunya de l’expedient relatiu a una queixa presentada per una pacient sobre el tracte rebut per un metge col·legiat, tindria base jurídica suficient (art. 6.1, apartats a) i c) RGPD) en connexió amb els articles 78 i 79 de l’EAC i les previsions de la Llei 24/2009, tenint en compte la informació personal que, atesa la informació disponible, podria contenir-se en el dit expedient. La concurrència del consentiment explícit de la pròpia afectada habilitaria la comunicació al Síndic de Greuges de les seves dades de salut, ex. art. 9.2.a) RGPD, en connexió amb les bases jurídiques esmentades (art. 6.1 RGPD).