Cercador de resolucions, dictàmens i informes

Es declara que el Departament ha comès una infracció molt greu per vulneració del principi de minimització, per haver desat en una carpeta d'ús compartit entre les unitats d'una Subdirecció general els quadres de vacances dels treballadors d'aquestes unitats, que contenien el seu nom i cognoms i NIF complet de cadascun (el NIF és excessiu).
D'altra banda, en l'acord d'iniciació es va acordar arxivar 3 fets denunciats: 1) un, referit a la recepció d'un correu sospitós de suplantació d'identitat (phishing): es va arxivar perquè el Departament va confirmar la veracitat del correu i de la identitat de la persona remitent, qui va enviar el correu en exercici de les seves funcions; 2) un segon, referit a la petició del Departament perquè el denunciant fer ús del l'IdCAT Mòbil personal en l'àmbit laboral: es va arxivar atès que finalment la persona denunciant no en va fer ús; i 3) un tercer, sobre la identificació errònia del DPD: es va arxivar atès que aquesta errada no va impedir que la persona denunciant pogués comunicar-se amb el DPD, i en el Registre de DPD consta la informació actualitzada.

La persona reclamant es queixava per la desatenció de dues sol·licituds d'exercici del dret d'accés que va presentar davant l'AOC, sense que aquesta última li donés cap resposta. Al respecte, es declara que el Consorci Administració Oberta de Catalunya ha atès de forma extemporània les sol·licituds d'accés de la persona reclamant, ja que no ha acreditat haver-li notificat efectivament les resolucions corresponents a les dites sol·licituds, sense entrar en altres consideracions respecte el fons ja que l'AOC va resoldre facilitar l'accés. Es requereix l'AOC perquè faci efectiu el dret d'accés exercit.

L'enviament d'un correu electrònic a l'ara denunciant, relacionat amb els serveis del certificat electrònic, constitueix un tractament de dades compatible amb la finalitat inicial per a la qual es van recollir les dades, que va ser, precisament, per a la contractació del referit certificat . Així doncs, en la mesura que es compleixen les exigències de l'article 6.4 RGPD, procedeix l'arxiu de l'expedient.

Als efectes del règim de comunicació de dades (art. 11 LOPD), la legislació estudiada habilita l’Ajuntament per incloure el nom i cognoms dels funcionaris que signen per delegació de signatura els certificats objecte de consulta, ja sigui en suport paper o en format electrònic, sense el seu consentiment. No resulta exigible ni justificada, amb caràcter general, la supressió del nom i cognoms dels funcionaris que signen els certificats municipals objecte de consulta, ni la seva substitució pel “codi de funcionari”. Els treballadors afectats poden exercir el dret d’oposició, motivadament i en relació amb la seva situació concreta, en els termes de la normativa aplicable.

La inclusió de la dada DNI en els camps d’informació que conformen l’estructura dels certificats qualificats de treballadors públics no resultaria, amb caràcter general, adequada al principi de minimització. Des del punt de vista del dret a la protecció de dades, cal valorar la possibilitat d’establir una política de certificació que prevegi la utilització de certificats basats en pseudònims, als efectes d’evitar la difusió d’aquesta dada, opció plenament vàlida en atenció a les previsions del ReIDAS.

La comunicació, per part de l'entitat de certificació a la Direcció General d'Administració Local, de les persones que disposen de certificat de signatura digital per actuar com a funcionari amb habilitació de caràcter estatal, pot estar habilitada per l'article 11.2.c) de la LOPD en relació amb l'article 18.c) de la Llei 59/2003, de 19 de desembre, de signatura electrònica.

Sense qüestionar la cobertura legal de la utilització del DNI en relació amb la gestió dels certificats digitals de funcionaris i treballadors públics, atès el principi de qualitat (art.4 LOPD) no s'haurien de descartar altres opcions que permetin, si escau, la utilització del DNI només per a la gestió del certificat i la signatura electrònica de documents, i que evitin la seva difusió posterior. Seria aconsellable que les entitats de certificació que emetin certificats que permeten la signatura electrònica per part de funcionaris i treballadors públics plantegin una política de certificació que eviti la difusió del número de DNI a través de la utilització de pseudònims, si aquests permeten la verificació de la identitat de la persona que signa.

L’ús del certificat digital o del DNI electrònic per accedir a informació sensible, com ara les dades de salut, no s’estableixen ni en la LAECSP ni en el RLOPD com les úniques tecnologies que garanteixen el compliment de les mesures de seguretat de nivell alt per a la identificació i l’autenticació d’usuaris. Si bé des del punt de vista de la normativa de protecció de dades sempre serà preferible el sistema que ofereixi majors garanties de seguretat, com ara la utilització de mecanismes basats en certificats electrònics, es poden utilitzar altres sistemes d’accés a les dades contingudes a la carpeta personal de salut, sistemes robusts d’identificació i autenticació, com ara usuari i contrasenya, sempre que la política de seguretat implantada en garanteixi la confidencialitat.

La utilització de terminals electrònics que permetin obtenir volants d'empadronament directament pels ciutadans constitueix un servei d'administració electrònica l'admissibilitat del qual en principi no plantejaria problemes des del punt de vista de la normativa de protecció de dades, sempre que s'adoptin les mesures adequades per garantir la identificació i autenticació de les persones que utilitzin aquest servei. En aquest sentit es recomana la utilització de sistemes basats en el DNI electrònic o altres sistemes de signatura electrònica avançada. Atesa la naturalesa de les dades tractades, també podria ser admissible un sistema d'identificació basat en un usuari identificatiu i una contrasenya prèviament atorgada per l'Ajuntament.