Cercador de resolucions, dictàmens i informes

El reclamant es queixava que l'AOC no havia suprimit les dades que contenia El Meu Espai i el remetia a reclamar la supressió directament a cadascuna de les entitats responsables del tractament. Es desestima la reclamació, perquè l'AOC va resoldre adequadament la sol·licitud del reclamant ja que, pel que fa a les dades de les quals era responsable del tractament, no les podia suprimir si en la data de la sol·licitud no existien. Pel que fa a les dades respecte de les quals actuava com a encarregat del tractament, va indicar al reclamant que havia de formular la reclamació davant de cada entitat individualment; tot i això, finalment l’AOC va derivar la sol·licitud a cadascuna de les entitats.

Es canvia el criteri inicial (en què es considerava el Departament de Salut i el CTTI corresponsables) i es declara que el Departament de Salut, com a únic responsable del tractament, ha comès una infracció molt greu per no haver verificat que les entitats prestadores del servei (CTTI i empreses sotsencarregades) no informaven sobre protecció de dades en les trucades del SAU, inclòs el fet que la trucada podia ser gravada.

Es declara que l'entitat ha vulnerat el principi de minimització de dades, per trametre la còpia d'una denúncia sense anonimitzar determinades dades de la representant de la persona jurídica denunciant. L'entitat denunciada va comunicar dades excessives (DNI, data de naixement, adreça i mòbil) de la representant d'una associació que havia presentat una denúncia contra una corporació local.

Es declara que l'Ajuntament ha comès 3 infraccions: 1) Una infracció per fer ús d'algunes galetes que tracten dades personals, sense haver-ne informat prèviament; 2) Una altra infracció per fer ús de galetes no necessàries, sense haver recollit el consentiment; i 3) Una tercera infracció per no publicar al web tota la informació del RAT.

D'altra banda, a l'acord d'iniciació es van arxivar els fets denunciats relatius a: 1) Manca de política de privacitat: es va arxivar perquè la informació figurava publicada al web, tot i que amb un terme diferent, però vàlid; 2) Manca d'avís legal: es va arxivar perquè, en aquest apartat d'un web, no s'inclou la informació que requereix la normativa de protecció de dades; i 3) Omissió de la informació del RAT en el portal de transparència: es va arxivar, atès que la norma només obliga a fer-ho públic per mitjans electrònics; 4) Omissió de la informació referent al delegat de protecció de dades: es va arxivar atès que no cal publicar-hi el nom i cognoms.

El denunciant es queixa perquè se li ha denegat l'exercici del dret d'accés perquè no el va sol·licitar mitjançant el tràmit adequat. L'interessat volia saber el motiu pel qual l'entitat va accedir a dades policials a través de la PICA, quan es tracta d'una persona resident fora de Catalunya. Es desestima la petició per motius formals, ja que va sol·licitar accedir a les dades a través d'una petició genèrica que no permet acreditar la identitat del sol·licitant. Pel que fa al fons, es considera que, quan ho demani de manera que permeti acreditar la seva identitat, té dret a obtenir les dades demanades.

L'Ajuntament no va implementar les mesures tècniques i organitzatives adequades per impedir, des del disseny i per defecte, la possibilitat que si dues persones entren simultàniament al sistema, cadascuna amb el seu certificat electrònic, s'accedeixi a la pantalla inicial de la carpeta ciutadana de l'altra persona. A conseqüència d'això, es va infringir el deure de confidencialitat, en quedar exposades les dades d'una altra persona usuària. Concurs medial d'infraccions (mesures de seguretat i confidencialitat). Es declara la infracció del principi de confidencialitat.

L'entitat ha vulnerat el principi de confidencialitat, per haver difós les dades personals de 810 persones designades membres d'una mesa electoral per les eleccions municipals de 28/05/2023. Es declara la comissió d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.f, ambdós de l'RGPD.

L'Autoritat declara que un Ajuntament ha comès una infracció per vulneració del principi d'exactitud, pel fet d'haver publicat un comunicat, en què l'equip de govern criticava el nombre elevat de denúncies presentades per dos grups municipals (GM), i assenyalava que la GAIP havia dictat una resolució d'arxivament d'una denúncia presentada per un regidor, a qui identificava amb el nom i primer cognom i el GM d'adscripció, quan en realitat la GAIP havia emès un dictamen a petició d'una consulta que l'Ajuntament li havia formulat.
D'altra banda, en l'acord d'iniciació es va arxivar la part referent a la difusió del nom i cognoms i del GM d'adscripció, atès que aquesta era una informació manifestament pública. També es va arxivar la part referent a la difusió del nombre d'instàncies presentades, atès que s'emmarca en la crítica política i l'exercici del dret d'informació.

El denunciant es queixa que el Departament de Salut li ha tramès l'avís d'una notificació electrònica sobre un expedient sancionador al seu telèfon mòbil, sense haver consentit de rebre notificacions electròniques. Es resol arxivar la denúncia, perquè el denunciant va facilitar el seu número de telèfon mòbil en el moment que la policia li va aixecar acta i perquè va accedir voluntàriament a la notificació electrònica, quan va rebre l'avís.