Cercador de resolucions, dictàmens i informes

La persona reclamant podria accedir a tota aquella informació personal que sobre la seva persona pugui constar en la informació generada durant les actuacions realitzades per l’Institut, inclòs l’origen de les dades, per tant, la identitat de les persones que hagin aportat informació sobre ella i la informació sobre els fets i/o les accions que se li atribueixen. També se li podria facilitar les dades merament identificatives de les persones que hagin intervingut en aquestes actuacions ateses les seves funcions. Aquest accés hauria de veure’s però limitat en cas que les dites actuacions formessin part d’una informació reservada prèvia a un expedient disciplinari contra la seva persona, mentre aquesta fase es tramiti.

El COMB, en el marc de la tramitació d'un dret d'accés a un expedient, va facilitar còpia de certificats de notificació de correus, que contenien dades personals dels receptors de les notificacions.

Es resol que l'Ajuntament de La Canonja ha vulnerat l'article 5.1.a de l'RGPD, atès que l'entitat no disposa de cap base jurídica que legitimi el tractament de dades biomètriques dels seus treballadors. També la vulneració de l'article 35 de l'RGPD, perquè no havia fet una avaluació d'impacte en matèria de protecció de dades. A més, es requereix a l'entitat que posi a disposició del seu personal un sistema alternatiu de control horari, que no comporti el tractament de categories especials de dades.

Arran d'una pregunta, feta a través d'un programa radiofònic, l'alcalde va revelar que el denunciant és deutor de l'ajuntament. L'entitat defensa que la informació era pública, atès que consta a la sentència publicada al Centre de Documentació Judicial, que és accessible pel públic. Tanmateix, es constata que les sentències que fan referència al cas no esmenten en cap moment el denunciant (amb nom i cognoms), sinó a dos partits polítics, que són els deutors reals de l'ajuntament. S'imputa vulneració del principi d'exactitud.

Es planteja una consulta sobre el dret d’accés d’un pacient al curs clínic.

En aquest cas, la negativa d’un facultatiu sanitari a emetre un informe que, en principi, li correspondria, no pot derivar en un perjudici al malalt. Per aquesta raó, si resulta suficientment justificat, aquest informe es podria emetre per un altre facultatiu, deixant constància del seu contingut a la història clínica i, de la mateixa manera, hauria de constar en termes de traçabilitat d’aquesta.

El pacient, com a titular de les dades personals que consten als seus informes mèdics d’assistència i afectat té dret a accedir a la informació del curs clínic, sempre que no sigui  en perjudici del dret de tercers a la confidencialitat de les dades d'aquests que figuren en l'esmentada documentació, ni del dret dels professionals que han intervingut en l'elaboració d'aquesta, que poden invocar la reserva de llurs observacions, apreciacions o anotacions subjectives.

Una vegada informat de la possibilitat d’exercir el dret de limitació, el facultatiu no ès pot negar a que es lliuri el curs clínic al pacient. 

Des del punt de vista de la normativa de protecció de dades, l’incompliment del dret d’accés del pacient a la seva documentació clínica, comporta una infracció administrativa per vulneració de la normativa de protecció de dades.

Prenent en consideració la informació aportada, no existeix en el cas examinat habilitació jurídica suficient que justifiqui el tractament de dades personals per a l’execució o exhibició de l’obra d’art, alhora que pot vulnerar el dret a la intimitat d’acord amb el que preveu la Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge.

Ara bé, la possibilitat d’enregistrar el so ambient sense que en cap cas es captin, difonguin o enregistrin converses de persones, o veus de persones identificables, no resulta contrària a la normativa de protecció de dades. Per aquest motiu, al fonament de dret VII d’aquest dictamen es proposen algunes mesures que es poden tenir en compte per no dur a terme el tractament de dades personals, i excloure l’aplicabilitat la normativa de protecció de dades.

En aquest informe s’analitzen diverses qüestions relatives a l’aplicació de la normativa a l’accés a informació personal de persones que van ser ateses a les institucions referides (cases de maternitat). Això, en atenció als terminis de temps transcorreguts, el tipus d’informació i els drets afectats, tenint en compte la legislació d’arxius. També es recorda que el responsable de l’arxiu, tenint en compte el principi de responsabilitat proactiva, ha de comprovar, ja sigui a partir de documentació aportada pels propis sol·licitants, ja sigui per documentació o per altra informació complementària de què pugui disposar, que queda acreditada la data de la mort o, al menys, que es pot deduir de forma suficient que la informació sol·licitada ja no es refereix a una persona viva. En relació amb l’exercici del dret instrumental de l’article 3.1 LOPDGDD, si la vinculació de parentiu o de fet o la condició d’hereu, que es pugui considerar així en atenció a la normativa aplicable, s’acredita documentalment, aquestes persones haurien de tenir, en principi, accés a la informació.

Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.

Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.

Es resol declarar que, amb anterioritat al 05/03/2023, l'HCB no havia implementat les mesures de seguretat -tècniques i organitzatives- adequades per garantir un nivell de seguretat adequat al risc dels tractaments de dades personals que duia a terme. Tampoc havia realitzat una anàlisi de riscos per definir les mesures de seguretat requerides, tal com exigeixen els apartats 1r i 2n de l'article 32 RGPD. La plataforma informàtica que va ser objecte de ciberatac emmagatzemava informació de l'HCB i també d'altres entitats vinculades (Barnaclínic SA, CAPSBE i la FRCB-IDIBAPS); per tant, el volum i sensibilitat de la informació exigien una especial diligència en la seva custòdia i seguretat.