Cercador de resolucions, dictàmens i informes

L'ajuntament va publicar a la seva pàgina web, durant quatre dies, un llistat que contenia les dades personals (nom i cognoms, categoria o càrrec, lloc de treball, grup, nivell destí i retribucions) de la plantilla de personal, en total 1.076 persones. A més, aquest llistat incloïa la signatura electrònica d'una persona, de manera que se'n visualitzava el DNI complet, juntament amb el seu nom i cognoms. Aquesta publicació es va produir a causa d'una errada humana. Es declara que l'entitat ha comès una infracció per la vulneració del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD.

 Escau concloure que l'Ajuntament ha adequat la informació que s'ofereix sobre protecció de dades en el marc del tràmit de les sol·licituds de targeta de permís d'armes, atès que facilita la informació prevista a l'article 13 de l'RGPD de manera accessible i transparent a la pàgina principal del tràmit (des de la qual s'accedeix a la sol·licitud en paper i a la sol·licitud telemàtica).

El reclamant es queixava que l'AOC no havia suprimit les dades que contenia El Meu Espai i el remetia a reclamar la supressió directament a cadascuna de les entitats responsables del tractament. Es desestima la reclamació, perquè l'AOC va resoldre adequadament la sol·licitud del reclamant ja que, pel que fa a les dades de les quals era responsable del tractament, no les podia suprimir si en la data de la sol·licitud no existien. Pel que fa a les dades respecte de les quals actuava com a encarregat del tractament, va indicar al reclamant que havia de formular la reclamació davant de cada entitat individualment; tot i això, finalment l’AOC va derivar la sol·licitud a cadascuna de les entitats.

El reclamant es queixava per no haver rebut resposta a la seva sol·licitud sobre la supressió de les seves dades personals. S'estima la reclamació, atès que l'entitat no va atendre el dret perquè va entendre que en feia un ús abusiu, per les reiterades sol·licituds del reclamant.

Es canvia el criteri inicial (en què es considerava el Departament de Salut i el CTTI corresponsables) i es declara que el Departament de Salut, com a únic responsable del tractament, ha comès una infracció molt greu per no haver verificat que les entitats prestadores del servei (CTTI i empreses sotsencarregades) no informaven sobre protecció de dades en les trucades del SAU, inclòs el fet que la trucada podia ser gravada.

Es declara que l'entitat ha vulnerat el principi de minimització de dades, per trametre la còpia d'una denúncia sense anonimitzar determinades dades de la representant de la persona jurídica denunciant. L'entitat denunciada va comunicar dades excessives (DNI, data de naixement, adreça i mòbil) de la representant d'una associació que havia presentat una denúncia contra una corporació local.

Es declara que l'Ajuntament ha comès 3 infraccions: 1) Una infracció per fer ús d'algunes galetes que tracten dades personals, sense haver-ne informat prèviament; 2) Una altra infracció per fer ús de galetes no necessàries, sense haver recollit el consentiment; i 3) Una tercera infracció per no publicar al web tota la informació del RAT.

D'altra banda, a l'acord d'iniciació es van arxivar els fets denunciats relatius a: 1) Manca de política de privacitat: es va arxivar perquè la informació figurava publicada al web, tot i que amb un terme diferent, però vàlid; 2) Manca d'avís legal: es va arxivar perquè, en aquest apartat d'un web, no s'inclou la informació que requereix la normativa de protecció de dades; i 3) Omissió de la informació del RAT en el portal de transparència: es va arxivar, atès que la norma només obliga a fer-ho públic per mitjans electrònics; 4) Omissió de la informació referent al delegat de protecció de dades: es va arxivar atès que no cal publicar-hi el nom i cognoms.