Cercador de resolucions, dictàmens i informes

Es dicta resolució per vulneració del principi de confidencialitat pel fet que un recaptador del Consoci, en el marc d'una delegació de competències en matèria de gestió i recaptació de tributs de l'Ajuntament de Bolvir, va enviar correus electrònics a una adreça electrònica errònia, vinculada a un particular, que contenien dades personals de persones contribuents del municipi de Bolvir.

L’adreça de correu corporatiu d’un Ajuntament, atès que permet la identificació del titular del compte, és una dada de caràcter personal protegida per la normativa de protecció de dades. El tractament de dades personals que es produeixi arran de l’enviament de missatges de correu electrònic per part d’un treballador públic, en concret, la inclusió d’adreces de correu corporatives de tercers i la tramesa a un destinatari extern, pot ser lícit si concorre una base jurídica (art. 6.1 RGPD) i es dona compliment al principi de finalitat (art. 5.1.b) RGPD). Segons el sistema de responsabilitat previst a l’RGPD, la responsabilitat per les infraccions a la normativa de protecció de dades recau en els responsables del tractament, sens perjudici que se’n puguin derivar conseqüències de tipus disciplinari.

Vulneració del dret d'informació dels usuaris de la entitat, per falta d'acreditació documental en el moment de la recollida (articles 12, 13, i 14 RGPD); i per vulneració del principi de licitud, per haver fet un ús inadequat de les dades consistent en efectuar comentaris subjectius i negatius respecte d'un grup de membres que volien presentar la seva candidatura. 

L’accés dels regidors a dades personals incloses en el Padró municipal d’habitants pot resultar habilitat quan, tenint en compte les finalitats pròpies del Padró, l’accés sigui necessari i proporcionat per al desenvolupament de les funcions de control de les activitats de la corporació municipal, o d’altres funcions que puguin tenir atribuïdes el regidor, en els termes previstos a l’LRBRL. No resulta justificat l’accés del regidor al Padró municipal d’habitants per configurar el programa electoral del grup municipal en relació amb les ordenances fiscals, per realitzar els càlculs pertinents, identificant les persones que hi son inscrites.

La política municipal d’ús dels sistemes d’informació i dispositius digitals ha d’abastar normes clares sobre la gestió que es farà del compte de correu electrònic corporatiu personalitzat, i sobre els accessos a la informació que conté, tant amb motiu de cessament de la relació laboral com en cas d’absència temporal de la persona treballadora. També ha d’incloure previsions específiques respecte l’ús adequat dels sistemes d’informació per part del seu personal i el control que en pot fer l’Ajuntament per garantir-ne la seguretat i el bon funcionament. Respecte les peticions d’accés i obtenció de còpia dels correus electrònics per part de persones ex treballadores, cal tenir en compte les observacions fetes en aquest dictamen.

No es disposa de cap indici que permeti sostenir que l'Ajuntament denunciat és el titular del compte de correu electrònic des del qual es va enviar un missatge a determinats agents locals, criticant comportaments sindicals. Al respecte, tampoc es pertinent sostenir que l'Ajuntament ha filtrat la informació relativa a les adreces electròniques corporatives dels membres del cos de Policia, atès que, a banda de les persones treballadores de l'Ajuntament que, òbviament poden tenir accés a les dites adreces corporatives, no es pot descartar que terceres persones hagin obtingut aquesta informació pels seus propis mitjans (p.ex, persones que hagin prestat serveis a l'Ajuntament, o ciutadanes que s'hagin relacionat amb aquests empleats públics).

El denunciant es queixa del fet que li van fer enviar documentació mèdica per email i que això propiciaria l'accès a dades mèdiques per part del personal administratiu no sanitari. Es dicta RA atès que es tractava d'un enviament excepcional ja que el pacient va demanar assistència urgent per telèfon per a la prescripció de medicació pel dolor i com el darrer informe mèdic encara no constava en el HC3, atès que havia estat emès aquell mateix dia en un altre centre mèdic, se li va demanar que l'envies per correu electrònic per tal de poder dur a terme la prescripció mèdica. Aquests correus els gestiona el personal administratiu que té encomanades aquestes funcions i, a més, la gestió no implica accedir a la documentació mèdica; únicament si esdevé imprescindible per a la realització de les seves funcions. Art. 16 Llei 41/2022.

Es resol amonestar el Col·legi oficial de veterinaris de Barcelona, per la vulneració del principi de licitud, atès que aquesta entitat va traslladar a un centre veterinari la consulta deontològica que una usuària va plantejar al COVB, en relació amb l'atenció rebuda al referit centre veterinari, sense que hi hagués una base jurídica que legitimés el tractament de les dades de l'ara denunciant.

Es resol sancionar amb una multa de 1.500 € l'empresa denunciada, encarregada de prestar el servei públic de l'oficina de turisme d'Alella, atès que des d'aquesta mateixa oficina es va enviar un correu electrònic, sense emprar la còpia oculta, a les persones que havien reservat una visita a un celler. Aquest fet va propiciar que les persones destinatàries del missatge poguessin veure l'adreça electrònica de la resta de persones destinatàries i que sabessin que aquestes també havien reservat la visita al celler, contravenint el principi de confidencialitat de les dades.

L'enviament d'un correu electrònic a l'ara denunciant, relacionat amb els serveis del certificat electrònic, constitueix un tractament de dades compatible amb la finalitat inicial per a la qual es van recollir les dades, que va ser, precisament, per a la contractació del referit certificat . Així doncs, en la mesura que es compleixen les exigències de l'article 6.4 RGPD, procedeix l'arxiu de l'expedient.