Cercador de resolucions, dictàmens i informes

Una víctima de violència de gènere denuncia que l'escola de la seva filla utilitza una aplicació que gestiona les comunicacions entre el centre i la família i que comparteix les dades de xat amb el pare de la seva filla, sense que li ofereixin una altra opció.

Es resol declarar que l'Ajuntament de Barcelona va vulnerar el principi de licitud (art. 5.1.a RGPD) atès que va tractar les dades personals d'agents de la Guàrdia Urbana (número de telèfon personal) per enviar comunicacions "no formals" per mitjà d'un grup de WhatsApp. A més, tots els participants del grup van poder accedir al número de mòbil privat, foto de perfil i nom d'usuaris de la resta de membres. Aquesta actuació també va suposar la vulneració de l'article 25 RGPD, atès que no es van adoptar mesures per protegir les dades des del disseny.

El denunciant es queixa que des de l'institut s'ha canviat la seva contrasenya per accedir al seu compte corporatiu digital, on té emmagatzemada informació personal. Posa de manifest que no se li ha demanat permís. Es dicta resolució del procediment sancionador per vulneració de les mesures dels articles 25 i 32 RGPD.

La història clínica de la fundació denunciada està configurada de manera que, des del disseny i per defecte, els metges propis i externs de la fundació poden accedir-hi, a través dels sistemes d'informació de la fundació. Aquest fet va provocar que un metge extern que va atendre la persona denunciant en el marc d'una assistència sanitària privada accedís a la seva història clínica, sense el seu consentiment explícit ni cap altra base jurídica que legitimés aquest tractament. En aquest cas, no s'imputa la vulneració del deure de la protecció de dades des del disseny i per defecte, atès que hi ha un concurs ideal d'infraccions i només s'imputa la infracció més greu; és a dir, la vulneració del principi de licitud (qualificada com a molt greu). Tampoc s'imputa la vulneració del principi de limitació de la finalitat, perquè queda subsumida en la infracció relativa al principi de licitud.

Es denuncia que en una carpeta compartida a la qual tenen accés tots els treballadors de la corporació hi ha documentació confidencial sobre la seva persona. Es dicta resolució definitiva per vulneració de les mesures de seguretat de l'art. 25 RGPD (des del disseny i per defecte).

Un cop finalitzada la relació laboral amb la docent, el centre va accedir al seu correu corporatiu per recuperar informació relacionada amb el centre. L'institut no disposa d'un procediment concret per accedir als comptes corporatius de persones extreballadores, amb totes les garanties. Per contra, res impedia accedir a la informació en presència de la treballadora, abans del seu cessament. S'imputa infracció greu de l'article 73.d i f de l'LOPDGDD, per manca de mesures tècniques i organitzatives apropiades per aplicar els principis de protecció de dades des del disseny i per garantir un nivell de seguretat adequat.

El programa que utilitza l'ICS per generar els justificants de visita mèdica està configurat de manera que, per defecte, tots els justificants indiquen el servei o la unitat que ha atès la persona usuària que el demana; aquest camp no es pot modificar ni excloure. En aquest cas, n'hi havia prou que el justificant de visita indiqués el nom i cognoms de la persona denunciant, el centre assistencial on es va produir la visita i el dia i l'hora de la visita mèdica, així com l'hora de sortida, sense indicar la unitat concreta que l'havia atès. Escau requerir a l'ICS que elabori i tingui a disposició de les persones usuàries un model alternatiu de certificat o justificant de visita que no inclogui el nom de la unitat o del servei que ha atès la persona usuària.

L'ajuntament va arxivar documentació sobre un procediment disciplinari dins d’una carpeta electrònica relativa a un altre assumpte, a la qual tenien accés altres treballadors.

Es declara que l'Ajuntament dels Pallaresos ha comès dues infraccions de l'RGPD, atès que va posar a disposició de la ciutadania un grup de WhatsApp per facilitar informació municipal, sense satisfer el deure d'informar els membres participants quan s'adherien al grup i sense implementar les mesures de seguretat apropiades. L'ús d'aquesta eina va permetre que qualsevol membre del grup pogués accedir al número de telèfon i la fotografia de perfil de la resta de participants. En darrer terme, escau sobreseure la infracció referida a la manca de registre d'activitats del tractament (RAT) que s'imputava a l'acord d'iniciació d'aquest procediment, atès que l'ajuntament ha acreditat disposar d'aquest registre.

En atenció a la finalitat pretesa en el present cas amb la utilització de càmeres frontals exteriors en els trens, consistent en garantir la seguretat del trànsit ferroviari i la conservació de la infraestructura, es considera que la seva utilització no hauria de comportar la captació d’imatges de persones físiques o d’altra informació que les faci identificables, per la qual cosa l’entitat hauria d’adoptar els mecanismes escaients per evitar aquesta captació en aquells espais, com les estacions i zones adjacents, en què resulti probable.