Cercador de resolucions, dictàmens i informes

L'ajuntament va publicar a la seva pàgina web, durant quatre dies, un llistat que contenia les dades personals (nom i cognoms, categoria o càrrec, lloc de treball, grup, nivell destí i retribucions) de la plantilla de personal, en total 1.076 persones. A més, aquest llistat incloïa la signatura electrònica d'una persona, de manera que se'n visualitzava el DNI complet, juntament amb el seu nom i cognoms. Aquesta publicació es va produir a causa d'una errada humana. Es declara que l'entitat ha comès una infracció per la vulneració del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD.

L'Entitat Municipal Descentralitzada va donar vista i còpia d'uns expedients a una de les parts interessades i, per un error humà, se li va lliurar una fotocòpia del DNI d'una altra persona que també era part interessada .

La denunciant es queixa que Betevé ha difós el seu DNI a través d'un reportatge publicat en una xarxa social i que desconeix si s'ha publicat en més mitjans. Es dicta resolució per vulneració del principi de confidencialitat.

les persones denunciants es queixaven del fet que un cap de servei de l'empresa pública a on treballaven, va enviar per TEAMS als treballadors de la seva unitat dos actes de conciliació emeses pel Tribunal Laboral de Catalunya, arran d'un conflicte laboral que havia sorgit per la implantació de la jornada partida, i que havia derivat en successives convocatòries de vaga. En les actes enviades, figurava el nom i cognoms i el núm. complet de DNI dels representants dels treballadors. Es declara que l'empresa pública és responsable d'una infracció per haver vulnerat del principi de minimització, pel fet d'haver-hi difós el núm. de DNI. En l'acord d'iniciació, es va considerar que l'enviament de les actes amb el nom i cognoms estava emparat pel dret d'informació de l'empresari. D'altra banda, es va arxivar la part de la denúncia referida al reenviament de les actes per WhatsApp, per manca de prova.

Resum: les persones denunciants es queixaven del fet que un cap de servei de l'empresa pública a on treballaven, va enviar per TEAMS als treballadors de la seva unitat dos actes de conciliació emeses pel Tribunal Laboral de Catalunya, arran d'un conflicte laboral que havia sorgit per la implantació de la jornada partida, i que havia derivat en successives convocatòries de vaga. En les actes enviades, figurava el nom i cognoms i el núm. complet de DNI dels representants dels treballadors. Es declara que l'empresa pública és responsable d'una infracció per haver vulnerat del principi de minimització, pel fet d'haver-hi difós el núm. de DNI. En l'acord d'iniciació, es va considerar que l'enviament de les actes amb el nom i cognoms estava emparat pel dret d'informació de l'empresari. D'altra banda, es va arxivar la part de la denúncia referida al reenviament de les actes per WhatsApp, per manca de prova.

Procediment sancionador contra l'ajuntament, per haver publicat al tauler d'anuncis de la seu electrònica i a la web de l'ajuntament el resultat de la fase concurs i puntuació final d'un procés de selecció. Aquesta publicació incloïa la signatura digital de la presidenta del tribunal i de la secretària, que conté el número de DNI. Vulneració del principi de minimització. Infracció prevista a l'article 83.5.a en relació amb l'article 5.1.c, ambdós de l'RGPD.

La persona reclamant es queixa que el CAT112 no va respondre de forma "oficial" la seva sol·licitud de supressió, atès que li va respondre per correu electrònic sense signatura digital del DPD del Departament d'Interior. Es desestima la petició, atès que el CAT112 li va respondre pel mateix mitjà que la persona reclamant va escollir per fer la petició i posteriors comunicacions. A més, quan la persona reclamant va demanar que se la respongués de forma oficial, el CAT112 també ho va fer.

Es declara que el Departament ha comès una infracció molt greu per vulneració del principi de minimització, per haver desat en una carpeta d'ús compartit entre les unitats d'una Subdirecció general els quadres de vacances dels treballadors d'aquestes unitats, que contenien el seu nom i cognoms i NIF complet de cadascun (el NIF és excessiu).
D'altra banda, en l'acord d'iniciació es va acordar arxivar 3 fets denunciats: 1) un, referit a la recepció d'un correu sospitós de suplantació d'identitat (phishing): es va arxivar perquè el Departament va confirmar la veracitat del correu i de la identitat de la persona remitent, qui va enviar el correu en exercici de les seves funcions; 2) un segon, referit a la petició del Departament perquè el denunciant fer ús del l'IdCAT Mòbil personal en l'àmbit laboral: es va arxivar atès que finalment la persona denunciant no en va fer ús; i 3) un tercer, sobre la identificació errònia del DPD: es va arxivar atès que aquesta errada no va impedir que la persona denunciant pogués comunicar-se amb el DPD, i en el Registre de DPD consta la informació actualitzada.

Una empleada pública va emprar les dades identificatives d'una ciutadana per denunciar-la davant del Cos de Mossos d'Esquadra (CME), per una presumpta agressió soferta quan la ciutadana va demanar una cita prèvia en una oficina d'atenció a la ciutadania. Es considera que la recollida de dades identificatives de la ciutadana està emparada per l'article 6.1.e de l'RGPD, relatiu a l'exercici de poders públics, per concertar la cita prèvia. Pel que fa la comunicació de dades personals al CME, es considera que la informació era necessària per complir una obligació legal (art. 6.1.c RGPD), en connexió amb la Llei d'enjudiciament criminal (LECr), que obliga a informar el jutge d'instrucció de qualsevol delicte públic

La persona denunciant es queixava que li havien demanat el número de DNI per telèfon, per poder concertar una cita mèdica. Es considera que sol·licitar aquesta dada està justificat, per poder verificar la identitat de la persona que demana hora en un centre mèdic. Per consegüent, no vulnera el principi de minimització. La persona denunciant també es queixava que Catsalut havia facilitat les seves dades a l'Hospital Sagrat Cor. Es considera que escau arxivar, atès que l'hospital forma part del SISCAT.

S'imputen dues infraccions:
1.Vulneració principi minimització. En el marc d'un procés d'adjudicació d'HPO, concretament en el tràmit de presentació de sol·licituds per participar en el sorteig d'adjudicació, l'Ajuntament sol·licitava una còpia del DNI quan aquesta no era necessària.
2. Manca contracte encarregat. Les dades de les persones que presenten davant l'Ajuntament les seves sol·licitud per participar en el sorteig són comunicades a una empresa externa (la cooperativa que farà els habitatges), sense la cobertura d'un contracte d'encarregat del tractament.