Cercador de resolucions, dictàmens i informes

Es resol sancionar l'empresa Clece Seguridad SAU atès que, com a encarregada del tractament de dades per compte del Departament de Justícia, Drets i Memòria, no va adoptar les mesures tècniques i organitzatives necessàries per preservar la seguretat de la informació. A més, quan va ser víctima d'un robatori a l'interior d'una de les seves furgonetes, no va notificar la violació de seguretat l'Autoritat

Durant el Ple municipal de Badalona de 01/07/2024, l'alcalde va llegir textualment un informe amb dades mèdiques d'una persona que havia estat pacient de l'hospital municipal (BSA Badalona Serveis Assistencials) i, que, posteriorment va morir. BSA va facilitar aquest informe a l'alcalde, en qualitat de president del Consell d'Administració de l'entitat, quan l'antic pacient ja havia mort. S'arxiven els fets pel que fa al tractament que és atribuïble a ambdues entitats, en dues resolucions independents, perquè, des del punt de vista de la normativa de protecció de dades, els tractaments de dades d'una persona difunta no constitueixen una infracció. Pel que fa a possibles accessos indeguts per part de BSA, no s'ha constatat que s'haguessin produït.

Durant el Ple municipal de Badalona de 01/07/2024, l'alcalde va llegir textualment un informe amb dades mèdiques d'una persona que havia estat pacient de l'hospital municipal (BSA Badalona Serveis Assistencials) i, que, posteriorment va morir. BSA va facilitar aquest informe a l'alcalde, en qualitat de president del Consell d'Administració de l'entitat, quan l'antic pacient ja havia mort. S'arxiven els fets pel que fa al tractament que és atribuïble a ambdues entitats, en dues resolucions independents, perquè, des del punt de vista de la normativa de protecció de dades, els tractaments de dades d'una persona difunta no constitueixen una infracció. Pel que fa a possibles accessos indeguts per part de BSA, no s'ha constatat que s'haguessin produït.

El denunciant es queixa que l'entitat va organitzar una gimcana de temàtica sexual en què van participar menors i que es van difondre imatges de la seva filla menor a les xarxes socials del consistori, sense el seu consentiment. Es resol declarar que l'entitat ha comès una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.a, ambdós de l'RGPD, perquè ha vulnerat el principi de licitud en dos tractaments de dades personals relacionats: la realització d'una activitat en què participaven menors, a partir d'11 anys, sense informar del contingut als participants o els seus representants; i, per l'altra, la publicació en una xarxa social de l'entitat de les fotografies que es van efectuar durant l'activitat esmentada, que incloïen la imatge de menors.

En un curs adreçat al professorat, organitzat pel Departament d'Educació i Formació Professional al febrer de 2023, calia d'introduir contrasenyes en una web del domini "security.org". Es denunciava que tenia com a resultat la creació d'un diccionari adient per dur a terme atacs per diccionari. L'àrea de TSI d'aquesta Autoritat va verificar que l'aplicació no transmet per internet les dades introduïdes i que el risc del domini és baix. No hi ha infracció en matèria de protecció de dades.

La persona denunciant exposava que el tràmit de l'oficina virtual municipal que va utilitzar per domiciliar el pagament de l'impost d'escombraries de l'any 2024 no estava en blanc, sinó que contenia les dades personals de la persona que havia pagat l'impost prèviament. Concretament, el nom i cognoms, el número de DNI i les dades bancàries. Les mesures tècniques i organitzatives vigents l'any 2024 i actualment, aplicades al tràmit de l'oficina virtual que s'utilitza per pagar o domiciliar el pagament d’aquest impost, estan configurades de manera que el contribuent que és l'únic que pot accedir i consultar les dades del titular actual, mitjançant el tràmit de l'oficina virtual, prèvia identificació electrònica. El titular actual no pot accedir a les dades dels titulars anteriors.

Escau advertir el responsable del tractament que el fet de lliurar la documentació o informació que conté dades personals, en mà i sense ensobrar, podria constituir una vulneració del principi de confidencialitat. La documentació que contenia informació personal es va entregar a la persona titular de les dades, directament. Segons les manifestacions de l'entitat denunciada, la informació no va estar a l'abast general. Es conclou que la conducta descrita no té prou entitat per considerar-la constitutiva d'alguna de les infraccions previstes a la legislació sobre protecció de dades.

L’expedient d’informació reservada sol·licitat va finalitzar amb l’acord d’inici d’un expedient disciplinari contra la persona investigada, per aquest motiu en aplicació de l’article 23 de l’LTC, cal denegar l’accés a la informació relacionada amb la persona investigada, llevat que la sol·licitud s’hagués acompanyat amb el seu consentiment exprés i per escrit.

Tanmateix, la persona reclamant té dret a accedir a la informació de l’expedient que faci referència a la seva persona, incloses les dades de categories especials i, en principi, a la informació aportada sobre ella tant per la persona investigada com pels possibles testimonis, llevat que respecte d’aquestes terceres persones concorrin circumstàncies concretes que en justifiquin la limitació.

El denunciant es queixava que una incidència en el funcionament del canal previst per l'entitat per exercir els drets ARSOPOL impedia exercir-lo. S'arxiven les actuacions, perquè l'entitat ha acreditat que la incidència detectada no afectava els usuaris del canal, sinó al reenviament automatitzat dels missatges que rebia l'entitat al seu DPD extern. L'entitat va solucionar la incidència quan en va tenir coneixement.