Cercador de resolucions, dictàmens i informes

Es denuncia que en una carpeta compartida a la qual tenen accés tots els treballadors de la corporació hi ha documentació confidencial sobre la seva persona. Es dicta resolució definitiva per vulneració de les mesures de seguretat de l'art. 25 RGPD (des del disseny i per defecte).

Un cop finalitzada la relació laboral amb la docent, el centre va accedir al seu correu corporatiu per recuperar informació relacionada amb el centre. L'institut no disposa d'un procediment concret per accedir als comptes corporatius de persones extreballadores, amb totes les garanties. Per contra, res impedia accedir a la informació en presència de la treballadora, abans del seu cessament. S'imputa infracció greu de l'article 73.d i f de l'LOPDGDD, per manca de mesures tècniques i organitzatives apropiades per aplicar els principis de protecció de dades des del disseny i per garantir un nivell de seguretat adequat.

El programa que utilitza l'ICS per generar els justificants de visita mèdica està configurat de manera que, per defecte, tots els justificants indiquen el servei o la unitat que ha atès la persona usuària que el demana; aquest camp no es pot modificar ni excloure. En aquest cas, n'hi havia prou que el justificant de visita indiqués el nom i cognoms de la persona denunciant, el centre assistencial on es va produir la visita i el dia i l'hora de la visita mèdica, així com l'hora de sortida, sense indicar la unitat concreta que l'havia atès. Escau requerir a l'ICS que elabori i tingui a disposició de les persones usuàries un model alternatiu de certificat o justificant de visita que no inclogui el nom de la unitat o del servei que ha atès la persona usuària.

L'ajuntament va arxivar documentació sobre un procediment disciplinari dins d’una carpeta electrònica relativa a un altre assumpte, a la qual tenien accés altres treballadors.

Es declara que l'Ajuntament dels Pallaresos ha comès dues infraccions de l'RGPD, atès que va posar a disposició de la ciutadania un grup de WhatsApp per facilitar informació municipal, sense satisfer el deure d'informar els membres participants quan s'adherien al grup i sense implementar les mesures de seguretat apropiades. L'ús d'aquesta eina va permetre que qualsevol membre del grup pogués accedir al número de telèfon i la fotografia de perfil de la resta de participants. En darrer terme, escau sobreseure la infracció referida a la manca de registre d'activitats del tractament (RAT) que s'imputava a l'acord d'iniciació d'aquest procediment, atès que l'ajuntament ha acreditat disposar d'aquest registre.

En atenció a la finalitat pretesa en el present cas amb la utilització de càmeres frontals exteriors en els trens, consistent en garantir la seguretat del trànsit ferroviari i la conservació de la infraestructura, es considera que la seva utilització no hauria de comportar la captació d’imatges de persones físiques o d’altra informació que les faci identificables, per la qual cosa l’entitat hauria d’adoptar els mecanismes escaients per evitar aquesta captació en aquells espais, com les estacions i zones adjacents, en què resulti probable.

Escau declarar la infracció comesa per l'Institut, atès que la Direcció va compartir amb tot el professorat les carpetes i documentació referent a tots els cursos i grups, sense implementar les mesures tècniques i organitzatives adequades per evitar, des del disseny i per defecte, l'accés indiscriminat a les dades de tot l'alumnat. Això va permetre que la persona denunciant, exprofessor de l'IES, accedís a tota la informació continguda a la carpeta i documentació compartides. En aquest cas, s'hi aprecia un concurs ideal d'infraccions, motiu pel qual només escau declarar la comissió de la infracció més greu de les comeses, és a dir, la vulneració del principi de confidencialitat, qualificada com a molt greu.

Procedeix l'arxivament dels fets atès que, d'una banda, l'accés a l'HC3 de les persones usuàries del sistema de salut públic català només es pot dur a terme per part de persones que disposin d'un número de col·legiació, excloent per tant el personal auxiliar administratiu. Al respecte, pel que fa l'accés a la història clínica, la normativa sanitària habilita l'accés al personal auxiliar administratiu quan aquest es dugui a terme en l'exercici de les seves funcions. Així mateix, també s'arxiva el fet relatiu a l'ús d'eines de comunicació interna com ara el whatsapp atès que no ha quedat provat que el personal de l'HUVH empri l'esmentada aplicació com a eina de treball. Al fil de l'anterior, tampoc ha quedat provat que el RAT sigui inadequat atès que l'HUVH ha aportat l'esmentat document elaborat per l'ICS, així com un document intitulat "SubRAT" que s'actualitza anualment i que conté els tractaments de dades personals que duu a terme l'hospital. En aquest sentit, l'Autoritat també considera que l'AIPD elaborada, en relació amb el tractament de dades personals vinculat al SAP, recull els extrems previstos a l'article 35 RGPD. En darrer terme, s'arxiva el fet denunciat relatiu a la manca de formació del personal de l'HUVH, en la mesura en què l'entitat ha acreditat oferir cursos en matèria de privacitat regularment al seus treballadors.

Un ciutadà accedeix, a través de la seva carpeta personal a la seu electrònica de l'Ajuntament, a la documentació d'una tercera persona en relació a un expedient que res té a veure amb la seva denúncia. S'imputa la vulneració del principi de confidencialitat. També consta acreditada la infracció de l'art. 25 RGPD, de mesures tècniques des del disseny i per defecte, si bé, efectuat concurs medial, només s'imputa per la infracció més greu.

En la recollida de les dades cal facilitar tota la informació prevista a l'article 13 de l'RGPD. En compliment de les obligacions de protecció de dades en el disseny, el responsable del tractament ha d'adoptar les mesures tècniques i organitzatives adequades per aplicar de manera efectiva els principis de protecció de dades, entre els quals el principi de confidencialitat. En el present cas, no es garantia que les persones que es van unir al grup de WhatsApp creat per l'Ajuntament, no poguessin accedir al número de mòbil, foto de perfil i nom d'usuari de la resta de membres.