L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
El tractament de les dades personals objecte de la consulta per a la realització per part d’una empresa externa a l’ajuntament d’un estudi sobre la bretxa digital de les persones majors de 60 anys del municipi, requerirà el previ consentiment de les persones interessades en els termes de l’article 7 de l’RGPD. Únicament es consideraria compatible amb aquest tractament posterior el tractament de les dades del padró municipal d’habitant relatives a la residència o domicili i la data de naixement de les persones interessades. Així mateix, un cop determinada la licitud del tractament i tenint en consideració el principi de minimització en quant a la informació necessària per a la finalitat pretesa, l’ajuntament hauria de formalitzar el corresponent acte jurídic d’encàrrec del tractament a l’empresa encarregada de realitzar l’estudi, d’acord amb l’article 28.3 RGPD.
La normativa de protecció de dades no impediria conèixer el nombre total d’alts càrrecs que s’han sotmès al procés de regularització, i la informació sobre el lloc de treball d’alt càrrec. Tampoc no impediria conèixer quina ha estat la plaça obtinguda o el tipus de procés selectiu establert en cada cas. La ponderació seria favorable a l’accés, en relació específicament amb la informació retributiva reclamada. Pel que fa a la informació sobre quina relació laboral prèvia mantenien amb l'administració els afectats, els anys en què es va produir i en quina situació administrativa es trobaven si eren funcionaris (excedència, serveis especials o qualsevol tipologia prevista legalment, inclosa la situació de comissió de serveis posterior), l’accés requeriria la prèvia pseudonimització de les dades personals.
Es declara la vulneració del principi d'exactitud. El responsable de tractament va vincular les dades de la persona denunciant a la condició de deutora de manera incorrecta, ja que l'impagament va ser propiciat per un error del responsable, atès que mai se li va girar el càrrec i, per tant, no hi havia cap deute. L'empresa imputada ha fet el pagament avançat amb la reducció del 20% de l'import de la sanció.
L'entitat va enviar a l'empresa que té contractada per adaptar els formularis per fer-los accessibles a persones amb discapacitats un model de formulari emplenat amb totes les dades personals d'un sol·licitant d'una determinada ajuda. Vulneració principi confidencialitat.
Es declara la vulneració del principi de confidencialitat per l'enviament d'un correu electrònic a 30 destinataris, sense fer ús de l'opció còpia oculta. Aquest fet ha comportat la difusió de les adreces electròniques dels destinataris i, en alguns casos, també del nom i cognoms.
S'estima parcialment la reclamació, referida a la desatenció d'una sol·licitud d'accés exercida per un pare respecte de la història clínica (HC) del seu fill menor, sobre uns diagnòstics psicosocials que el pare qüestionava. Després que el pare presentés una sol·licitud d'accés, l'ICS va modificar diversa informació vinculada a aquests diagnòstics, cosa que va impedir que el pare hi accedís. Pel que fa a la resta de documentació sol·licitada, es desestima la reclamació ja que, o bé no s'ha aportat cap prova indiciària que existeixi, o bé comporta l'elaboració d'una informació, cosa que excedeix el dret d'accés de protecció de dades.
Una empleada pública va emprar les dades identificatives d'una ciutadana per denunciar-la davant del Cos de Mossos d'Esquadra (CME), per una presumpta agressió soferta quan la ciutadana va demanar una cita prèvia en una oficina d'atenció a la ciutadania. Es considera que la recollida de dades identificatives de la ciutadana està emparada per l'article 6.1.e de l'RGPD, relatiu a l'exercici de poders públics, per concertar la cita prèvia. Pel que fa la comunicació de dades personals al CME, es considera que la informació era necessària per complir una obligació legal (art. 6.1.c RGPD), en connexió amb la Llei d'enjudiciament criminal (LECr), que obliga a informar el jutge d'instrucció de qualsevol delicte públic
En el marc de la tramitació d'una modificació d'una ordenança municipal, l'ajuntament va notificar l'acord d'aprovació definitiva a les 17 persones que havien presentat al·legacions. La notificació contenia les seves dades personals. L'ajuntament no va complir l'article 40.5 de la Llei 39/2015. Es declara la vulneració del principi de confidencialitat.
S'estima la reclamació de tutela, atès que l'entitat no va respondre en el termini establert a la normativa. No escau requerir cap actuació, atès que l'entitat va donar resposta ajustada a dret, tot i que extemporàniament.
S'estima la reclamació de tutela formulada per la persona reclamant contra la Direcció General de la Policia (DGP), atès que no va respondre la sol·licitud de supressió en el termini legalment establert. No cal efectuar un pronunciament sobre el fons en relació amb unes concretes diligències policials, atès que la DGP ha estimat fer efectiu el dret de supressió. No obstant això, es desestima respecte d'unes altres diligències policials, atès que la persona reclamant no va aportar la documentació que acreditaria la seva supressió.