Cercador de resolucions, dictàmens i informes

Una víctima de violència de gènere denuncia que l'escola de la seva filla utilitza una aplicació que gestiona les comunicacions entre el centre i la família i que comparteix les dades de xat amb el pare de la seva filla, sense que li ofereixin una altra opció.

Als efectes de la normativa de protecció de dades, no sembla que un tercer, que no té la condició de persona afectada (art. 4.1 RGPD), hagi de tenir accés a informació sobre el tractament de dades que du a terme un responsable, en uns termes més amplis o amb major grau de detall del que podria tenir una persona que sí té aquesta condició. Entre d’altres, sobre l’accés a informació elaborada pel DPD i informació sobre procediments, protocols i instruccions de gestió de dades personals, no es desprèn de la normativa una obligació específica de donar accés a la documentació elaborada pel DPD ni, per extensió, a altra documentació relativa a procediments o protocols de gestió en matèria de protecció de dades, tenint en compte que la reclamant no seria persona afectada als efectes de la normativa de protecció de dades. Sobre l’accés a la informació relativa a les TID, tenint en compte la naturalesa, funcions i estructura organitzativa de l’entitat, aquesta podria indicar quines garanties o instruments dels previstos a l’RGPD (arts. 44 i seg.) habiliten les TID en funció del país de destinació, sense que sembli necessari ni exigible concretar amb major detall aquesta qüestió.

La persona denunciant exposava que, per mitjà del sistema de recollida de residus "porta a porta", l'Ajuntament de Matadepera vinculava les escombraries amb les persones generadores dels residus, fet que considera que contravé la normativa de protecció de dades personals. En el marc de les actuacions d'investigació que va iniciar l'Autoritat no es va constatar que, en l'execució d'aquest servei, es vulnerés l'RGPD o l'LOPDGDD. De fet, el tractament de dades personals controvertit està emparat per l'article 6.1 RGPD, atès que és necessari en l'exercici dels poders públics atribuïts als ens locals. Al seu torn, la normativa sectorial atribueix als ajuntaments la competència exclusiva en matèria de recollida de residus, mentre que la Llei 7/2022, de residus i sòls contaminats, estableix que cal prioritzar els models de recollida més eficients, com ara el porta a porta. Es resol arxivar les actuacions, atès que el tractament denunciat és lícit conforme l'RGPD.

Es resol declarar que l'Ajuntament de Barcelona va vulnerar el principi de licitud (art. 5.1.a RGPD) atès que va tractar les dades personals d'agents de la Guàrdia Urbana (número de telèfon personal) per enviar comunicacions "no formals" per mitjà d'un grup de WhatsApp. A més, tots els participants del grup van poder accedir al número de mòbil privat, foto de perfil i nom d'usuaris de la resta de membres. Aquesta actuació també va suposar la vulneració de l'article 25 RGPD, atès que no es van adoptar mesures per protegir les dades des del disseny.

El denunciant es queixa que des de l'institut s'ha canviat la seva contrasenya per accedir al seu compte corporatiu digital, on té emmagatzemada informació personal. Posa de manifest que no se li ha demanat permís. Es dicta resolució del procediment sancionador per vulneració de les mesures dels articles 25 i 32 RGPD.

Prenent en consideració la informació aportada, no existeix en el cas examinat habilitació jurídica suficient que justifiqui el tractament de dades personals per a l’execució o exhibició de l’obra d’art, alhora que pot vulnerar el dret a la intimitat d’acord amb el que preveu la Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge.

Ara bé, la possibilitat d’enregistrar el so ambient sense que en cap cas es captin, difonguin o enregistrin converses de persones, o veus de persones identificables, no resulta contrària a la normativa de protecció de dades. Per aquest motiu, al fonament de dret VII d’aquest dictamen es proposen algunes mesures que es poden tenir en compte per no dur a terme el tractament de dades personals, i excloure l’aplicabilitat la normativa de protecció de dades.

La història clínica de la fundació denunciada està configurada de manera que, des del disseny i per defecte, els metges propis i externs de la fundació poden accedir-hi, a través dels sistemes d'informació de la fundació. Aquest fet va provocar que un metge extern que va atendre la persona denunciant en el marc d'una assistència sanitària privada accedís a la seva història clínica, sense el seu consentiment explícit ni cap altra base jurídica que legitimés aquest tractament. En aquest cas, no s'imputa la vulneració del deure de la protecció de dades des del disseny i per defecte, atès que hi ha un concurs ideal d'infraccions i només s'imputa la infracció més greu; és a dir, la vulneració del principi de licitud (qualificada com a molt greu). Tampoc s'imputa la vulneració del principi de limitació de la finalitat, perquè queda subsumida en la infracció relativa al principi de licitud.

Es denuncia que en una carpeta compartida a la qual tenen accés tots els treballadors de la corporació hi ha documentació confidencial sobre la seva persona. Es dicta resolució definitiva per vulneració de les mesures de seguretat de l'art. 25 RGPD (des del disseny i per defecte).

Un cop finalitzada la relació laboral amb la docent, el centre va accedir al seu correu corporatiu per recuperar informació relacionada amb el centre. L'institut no disposa d'un procediment concret per accedir als comptes corporatius de persones extreballadores, amb totes les garanties. Per contra, res impedia accedir a la informació en presència de la treballadora, abans del seu cessament. S'imputa infracció greu de l'article 73.d i f de l'LOPDGDD, per manca de mesures tècniques i organitzatives apropiades per aplicar els principis de protecció de dades des del disseny i per garantir un nivell de seguretat adequat.

Analitzades les consultes formulades per la delegada de protecció de dades de l’Ajuntament, és necessari que la previsió que es pretén introduir al conveni col·lectiu (i si escau, en els acords pel que fa al personal funcionari), reuneixi els requisits de l’article 9.2.b) de l’RGPD, és a dir, que estableixi les garanties adequades en els termes que ho estableix la doctrina del Tribunal Constitucional a què es fa referència en aquest dictamen i, a més, que hagi dut a terme amb caràcter previ al tractament de categories especials de dades l’anàlisi de la necessitat de la mesura, i tingui la capacitat de poder demostrar-ho d’acord amb el principi de responsabilitat proactiva (art. 5.2 de l’RGPD).

Pel que fa a l’anàlisi de la necessitat del tractament de dades biomètriques amb la finalitat de control d’accessos, cal que l’Ajuntament analitzi per cadascuna de les dependències municipals si aquesta mesura supera el judici de proporcionalitat