Cercador de resolucions, dictàmens i informes

L'ajuntament va publicar a la seva pàgina web, durant quatre dies, un llistat que contenia les dades personals (nom i cognoms, categoria o càrrec, lloc de treball, grup, nivell destí i retribucions) de la plantilla de personal, en total 1.076 persones. A més, aquest llistat incloïa la signatura electrònica d'una persona, de manera que se'n visualitzava el DNI complet, juntament amb el seu nom i cognoms. Aquesta publicació es va produir a causa d'una errada humana. Es declara que l'entitat ha comès una infracció per la vulneració del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD.

Es declara que el Departament ha comès una infracció molt greu per vulneració del principi de minimització, per haver desat en una carpeta d'ús compartit entre les unitats d'una Subdirecció general els quadres de vacances dels treballadors d'aquestes unitats, que contenien el seu nom i cognoms i NIF complet de cadascun (el NIF és excessiu).
D'altra banda, en l'acord d'iniciació es va acordar arxivar 3 fets denunciats: 1) un, referit a la recepció d'un correu sospitós de suplantació d'identitat (phishing): es va arxivar perquè el Departament va confirmar la veracitat del correu i de la identitat de la persona remitent, qui va enviar el correu en exercici de les seves funcions; 2) un segon, referit a la petició del Departament perquè el denunciant fer ús del l'IdCAT Mòbil personal en l'àmbit laboral: es va arxivar atès que finalment la persona denunciant no en va fer ús; i 3) un tercer, sobre la identificació errònia del DPD: es va arxivar atès que aquesta errada no va impedir que la persona denunciant pogués comunicar-se amb el DPD, i en el Registre de DPD consta la informació actualitzada.

Difusió per part d'un regidor de l'oposició, d'un document que conté el càrrec i la signatura electrònica on es visualitzen el nom i cognoms i núm. de DNI d'una empleada pública.

La persona reclamant es queixava per la desatenció de dues sol·licituds d'exercici del dret d'accés que va presentar davant l'AOC, sense que aquesta última li donés cap resposta. Al respecte, es declara que el Consorci Administració Oberta de Catalunya ha atès de forma extemporània les sol·licituds d'accés de la persona reclamant, ja que no ha acreditat haver-li notificat efectivament les resolucions corresponents a les dites sol·licituds, sense entrar en altres consideracions respecte el fons ja que l'AOC va resoldre facilitar l'accés. Es requereix l'AOC perquè faci efectiu el dret d'accés exercit.

Tot i que els lectors de pantalla més utilitzades en el mercat disposen d’OCR, ateses les dificultats de lectura que presenten els documents que incorporen imatges no textuals, la Universitat podria optar per publicar documents textuals mitjançant la utilització d’una impressora virtual de conversió a pdf. Una altra opció seria emprar algun sistema de compulsa digital que pugui utilitzar la Universitat, mitjançant un certificat que no incorpori dades de cap persona física.

La difusió de dades identificatives, arran del compliment de les obligacions de publicitat establertes a l’LCSP, hauria d’abastar només el nom i cognoms dels licitadors i adjudicataris, així com el nom, cognoms i càrrec del treballador públic que hi intervé per raó del càrrec o funcions. Per aquest motiu, es recomana tenir en compte les observacions fetes a l’apartat V del dictamen.

En la publicació de contractes administratius, a efectes de transparència, la difusió de dades personals hauria d’abastar només el nom i cognoms dels adjudicataris, així com el nom, cognoms i càrrec del treballador públic que hi intervé per raó del càrrec, en ser aquesta la informació mínima necessària per assolir la finalitat pretesa. En cas de tractar-se de convenis de col·laboració, aquesta hauria de limitar-se al nom, cognoms i càrrec de les persones que actuen en representació de les parts signants.

Als efectes del règim de comunicació de dades (art. 11 LOPD), la legislació estudiada habilita l’Ajuntament per incloure el nom i cognoms dels funcionaris que signen per delegació de signatura els certificats objecte de consulta, ja sigui en suport paper o en format electrònic, sense el seu consentiment. No resulta exigible ni justificada, amb caràcter general, la supressió del nom i cognoms dels funcionaris que signen els certificats municipals objecte de consulta, ni la seva substitució pel “codi de funcionari”. Els treballadors afectats poden exercir el dret d’oposició, motivadament i en relació amb la seva situació concreta, en els termes de la normativa aplicable.

La inclusió de la dada DNI en els camps d’informació que conformen l’estructura dels certificats qualificats de treballadors públics no resultaria, amb caràcter general, adequada al principi de minimització. Des del punt de vista del dret a la protecció de dades, cal valorar la possibilitat d’establir una política de certificació que prevegi la utilització de certificats basats en pseudònims, als efectes d’evitar la difusió d’aquesta dada, opció plenament vàlida en atenció a les previsions del ReIDAS.