Cercador de resolucions, dictàmens i informes

Títol: infracció del principi de confidencialitat per 9 accessos indeguts a la història clínica.
Resum: la denunciant es queixava de 9 accessos indeguts a la seva història clínica que no estaven relacionats amb cap actuació assistencial o de diagnòstic, ja que mai havia estat atesa en el centre ni per la facultativa que havia efectuat els accessos controvertits. La denunciant també es queixava que, en el marc d'una reunió d'una associació veïnal, la facultativa havia difós algunes dades de salut de la denunciant. Aquesta suposada divulgació de dades es va arxivar a l'acord d'iniciació, ja que no es van acreditar els fets. Pel que fa als 9 accessos indeguts acreditats, es sanciona l'entitat per la vulneració del principi de confidencialitat amb una multa de 30.000 €, com a responsable d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.f, ambdós de l'RGPD. L'entitat ha pagat la sanció de forma anticipada (24.000 €).

En atenció a la informació disponible, la formalització d’un contracte d’encarregat del tractament per a la prestació de certs serveis socials en el municipi consultant hauria d’efectuar-se entre l’entitat religiosa i el consorci. En el cas que la prestació del servei fos per compte i interès del consell comarcal però, aquest contracte hauria de formalitzar-se entre el dit consell comarcal i l’entitat religiosa.

La persona reclamant podria accedir a tota aquella informació personal que sobre la seva persona pugui constar en la informació generada durant les actuacions realitzades per l’Institut, inclòs l’origen de les dades, per tant, la identitat de les persones que hagin aportat informació sobre ella i la informació sobre els fets i/o les accions que se li atribueixen. També se li podria facilitar les dades merament identificatives de les persones que hagin intervingut en aquestes actuacions ateses les seves funcions. Aquest accés hauria de veure’s però limitat en cas que les dites actuacions formessin part d’una informació reservada prèvia a un expedient disciplinari contra la seva persona, mentre aquesta fase es tramiti.

Es resol declarar que l'Ajuntament de Cerdanyola del Vallès ha vulnerat el principi de confidencialitat atès que va publicar a la seva seu electrònica una resolució d'alcaldia que identificava, amb nom i cognoms, la persona que va presentar un recurs contenciós administratiu contra una resolució d'alcaldia. Aquesta publicació es va produir degut a una errada humana.

La denunciant es queixa que s'han inclòs dades personals excessives relatives a ella i a una altra persona, en un informe que l'Ajuntament de Barcelona ha tramès a la GAIP en el marc d'un expedient derivat d'una SAIP iniciada per l'entitat a la qual pertanyen. Es proposa declarar que s'ha vulnerat el principi de minimització.

Es resol el procediment sancionador instat contra el Departament d'Educació i Formació Professional per la vulneració del principi de minimització atès que des d'una Llar d'infants es va comunicar, de manera pública, que el cuiner d'aquell centre no havia resultat ser positiu de Covid-19 sense que aquesta informació, en el context de la reunió en què es va difondre, fos necessària. Aquesta informació es va incloure en una acta, que van signar tots els presents a la reunió.

El COMB, en el marc de la tramitació d'un dret d'accés a un expedient, va facilitar còpia de certificats de notificació de correus, que contenien dades personals dels receptors de les notificacions.

L'objecte de reclamació no és el dret d'accés regulat a l'article 15 de l'RGPD, atès que la persona afectada no pretén accedir a informació sobre les seves dades personals, sinó sobre un altre tipus d'informació en poder de l'entitat reclamada.

El reclamant es queixa que s’han modificat dades d’un expedient de trànsit que l’afecta i sol·licita el registre d’accessos. L'Ajuntament respon que les modificacions són a causa d'un error informàtic. S’estima la reclamació.

Es resol que l'Ajuntament de La Canonja ha vulnerat l'article 5.1.a de l'RGPD, atès que l'entitat no disposa de cap base jurídica que legitimi el tractament de dades biomètriques dels seus treballadors. També la vulneració de l'article 35 de l'RGPD, perquè no havia fet una avaluació d'impacte en matèria de protecció de dades. A més, es requereix a l'entitat que posi a disposició del seu personal un sistema alternatiu de control horari, que no comporti el tractament de categories especials de dades.