Cercador de resolucions, dictàmens i informes

L'ajuntament va publicar a la seva pàgina web, durant quatre dies, un llistat que contenia les dades personals (nom i cognoms, categoria o càrrec, lloc de treball, grup, nivell destí i retribucions) de la plantilla de personal, en total 1.076 persones. A més, aquest llistat incloïa la signatura electrònica d'una persona, de manera que se'n visualitzava el DNI complet, juntament amb el seu nom i cognoms. Aquesta publicació es va produir a causa d'una errada humana. Es declara que l'entitat ha comès una infracció per la vulneració del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD.

Cal establir mecanismes per garantir que les persones afectades tinguin informació sobre la consulta de documents en poder de les administracions públiques, així com sobre la possibilitat d’oposar-s’hi. Quan la consulta afecti a terceres persones, una possible opció podria ser incloure una clàusula en el formulari de sol·licitud on la persona sol·licitant declari que la resta de persones afectades han estat informades d’aquesta consulta i no s’han oposat a la seva realització, o, si escau, que s’hi s’han oposat.

La comunicació de les dades de les persones col·legiades del col·legi professional a la demarcació territorial estaria habilitada sobre la base de l’article 6.1.e) de l’RGPD, per ser informació necessària per a l’exercici dels poders públics que li confereix la normativa reguladora dels col·legis professionals en relació amb els respectius estatuts.

La creació i gestió d’una àrea de promoció econòmica urbana pot comportar vàries comunicacions de dades personals de les persones físiques titulars del dret de possessió dels locals inclosos dins de l’àmbit de la futura àrea entre els diferents actors intervinents (ajuntament, entitat promotora i entitat gestora), que caldrà adequar a la legislació de protecció de dades, particularment, als principis de licitud i limitació de la finalitat, en els termes exposats en aquest dictamen.

La persona denunciant exposava que, per mitjà del sistema de recollida de residus "porta a porta", l'Ajuntament de Matadepera vinculava les escombraries amb les persones generadores dels residus, fet que considera que contravé la normativa de protecció de dades personals. En el marc de les actuacions d'investigació que va iniciar l'Autoritat no es va constatar que, en l'execució d'aquest servei, es vulnerés l'RGPD o l'LOPDGDD. De fet, el tractament de dades personals controvertit està emparat per l'article 6.1 RGPD, atès que és necessari en l'exercici dels poders públics atribuïts als ens locals. Al seu torn, la normativa sectorial atribueix als ajuntaments la competència exclusiva en matèria de recollida de residus, mentre que la Llei 7/2022, de residus i sòls contaminats, estableix que cal prioritzar els models de recollida més eficients, com ara el porta a porta. Es resol arxivar les actuacions, atès que el tractament denunciat és lícit conforme l'RGPD.

L'Entitat Municipal Descentralitzada va donar vista i còpia d'uns expedients a una de les parts interessades i, per un error humà, se li va lliurar una fotocòpia del DNI d'una altra persona que també era part interessada .

La persona denunciant exposava que s'havia manipulat la seva història clínica. Concretament, assenyalava que el diagnòstic de les lesions que va patir en un accident no era correcte i que les imatges que hi constaven eren borroses i estaven tallades. Durant la tramitació de la reclamació, l'hospital va acreditar que la informació de la història clínica de la persona reclamant era correcta, que no hi havia hagut cap modificació posterior a la data de l'accident i que les imatges no eren borroses ni estaven tallades. S'arxiva el procediment, atès que no es pot atribuir a l'hospital cap fet punible des del punt de vista de la protecció de dades ni cap la responsabilitat pels fets denunciats i no acreditats.

Enviament d'un correu electrònic a les persones treballadores, en el qual s'identificaven les parts interessades en un expedient de diligències d'informació iniciat pel responsable del tractament. No hi ha cap raó que justifiqui aquesta comunicació de dades personals a les persones que no eren part interessada en l'expedient esmentat.

Títol: infracció del principi de confidencialitat per 9 accessos indeguts a la història clínica.
Resum: la denunciant es queixava de 9 accessos indeguts a la seva història clínica que no estaven relacionats amb cap actuació assistencial o de diagnòstic, ja que mai havia estat atesa en el centre ni per la facultativa que havia efectuat els accessos controvertits. La denunciant també es queixava que, en el marc d'una reunió d'una associació veïnal, la facultativa havia difós algunes dades de salut de la denunciant. Aquesta suposada divulgació de dades es va arxivar a l'acord d'iniciació, ja que no es van acreditar els fets. Pel que fa als 9 accessos indeguts acreditats, es sanciona l'entitat per la vulneració del principi de confidencialitat amb una multa de 30.000 €, com a responsable d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.f, ambdós de l'RGPD. L'entitat ha pagat la sanció de forma anticipada (24.000 €).

La denunciant es queixava que el seu nom i cognoms apareixien juntament amb una sèrie de valoracions sobre aspectes psicològics en un treball publicat en el repositori de la UOC. Es sanciona l'entitat amb una multa econòmica per la vulneració del principi de minimització, per haver publicat en el repositori de la universitat un treball de fi de grau (TFG) que contenia nombroses dades, algunes d'especial protecció, que fan referència als alumnes de dues aules d'un IES. S'arxiva pel que fa a l'extracció de dades per part de l'IES, ja que es va produir l'any 2000 i, en cas d'infracció, hauria prescrit. També s'arxiva per una 2a publicació acadèmica elaborada a partir de l'estudi controvertit, ja que no s'ha acreditat que en aquesta hi constin dades sense anonimitzar. Sanció imposada: 13.000€