Cercador de resolucions, dictàmens i informes

L'ajuntament va publicar a la seva pàgina web, durant quatre dies, un llistat que contenia les dades personals (nom i cognoms, categoria o càrrec, lloc de treball, grup, nivell destí i retribucions) de la plantilla de personal, en total 1.076 persones. A més, aquest llistat incloïa la signatura electrònica d'una persona, de manera que se'n visualitzava el DNI complet, juntament amb el seu nom i cognoms. Aquesta publicació es va produir a causa d'una errada humana. Es declara que l'entitat ha comès una infracció per la vulneració del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD.

Durant la fase d'investigació dels fets denunciats, el SEM ha exposat que ha comprovat i ha constatat que la persona identificada a l'escrit de denúncia no té accés a les aplicacions del SEM i que no ha tingut accés a cap dada personal de la persona denunciant.

Es resol que l'Ajuntament de La Canonja ha vulnerat l'article 5.1.a de l'RGPD, atès que l'entitat no disposa de cap base jurídica que legitimi el tractament de dades biomètriques dels seus treballadors. També la vulneració de l'article 35 de l'RGPD, perquè no havia fet una avaluació d'impacte en matèria de protecció de dades. A més, es requereix a l'entitat que posi a disposició del seu personal un sistema alternatiu de control horari, que no comporti el tractament de categories especials de dades.

Es planteja una consulta sobre la possibilitat de facilitar als regidors de govern i de l'oposició un informe emès per OAC,  i un altre complementari, en relació a la tramitació d'un expedient de persona protegida.

En aquest cas, d’acord amb la informació de què es disposa, s’hauria de  denegar l’accés a la informació sobre els dos informes de l’OAC indicats ja que, en principi, no serien  pertinents ni necessaris  pel desenvolupament de les funcions com a membres de la Comissió especial d’informació pel que fa a les irregularitats en la contractació de personal i, al mateix temps, podria  comportar un perjudici per a la persona denunciant, informant o alertadora i tercers, que tenen dret a  preservar la seva identitat d’acord amb la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.

Es resol declarar que l'ICS ha infringit el principi de minimització, per la inclusió de dades excessives en un informe mèdic. En concret, una pediatra va afirmar que els dos denunciants van acusar un pacient menor d'edat de vendre roba a l'escola on presten els seus serveis, sense que aquesta informació fos necessària en el marc de la prestació d'assistència sanitària. No s'escau requerir mesures correctores de la infracció, atès que l'informe s’ha modificat.

En aquest cas, el dret a la protecció de dades impediria l’accés de la persona reclamant a una relació de les altes i baixes de les persones usuàries de la plataforma iEduca per al perfil personal docent durant l’any 2023, tret d’aquella informació que, si escau, pugui fer referència a la seva persona. Ara bé, no hi hauria inconvenients en lliurar-li informació anonimitzada, sempre que s’efectuï amb un nivell d’agregació que garanteixi la no identificació de les persones afectades.

Es declara que l'ajuntament ha vulnerat el principi de licitud, atès que tractava les dades dels seus treballadors (l'adreça electrònica professional i la data de naixement) per enviar-los felicitacions d'aniversari, sense tenir-ne el consentiment ni cap altra base jurídica que legitimés aquest tractament. Durant la fase d'informació prèvia, l'ajuntament va acreditar que havia desactivat el sistema d'enviament automàtic de correus electrònics als seus treballadors.

S'acorda declarar que l'entitat ha comès una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.a, ambdós de l'RGPD, per la infracció del principi de licitud, amb motiu de la publicació en el tauler d'anuncis de la sala del professorat dels llistats d'absències del personal docent.

El denunciant es queixa que l'institut en què treballa ha filtrat informació confidencial sobre un conflicte que va tenir amb un alumne. Aporta diverses notícies dels mitjans de comunicació en què consten dades personals seves. Es dicta resolució d'arxivament, atès que no s'ha pogut acreditar que el responsable de la filtració sigui l'institut.

La persona denunciant es queixava pel fet que l'Ajuntament denunciat va accedir a la informació referida a les hores en què determinats agents de la policia municipal van realitzar formacions obligatòries en matèria de prevenció de riscos laborals (PRL), i denunciava que l'entitat va difondre a terceres persones alienes a la Junta de Personal de l'Ajuntament, un llistat amb el número TIP i l'horari en què cada agent va fer la formació. L'esmentat llistat indicava si la formació s'havia realitzat fora o durant la jornada laboral. En relació amb aquests fets, l'Autoritat ha resolt l'arxivament de la denúncia atès que, d'una banda, no ha quedat acreditada la difusió de la informació personal dels treballadors a terceres persones no autoritzades i perquè, d'altra banda, el tractament de dades referit al temps en què cada agent es va connectar al curs, es troba legitimat per l'article 6.1 apartats b, c i e RGPD, en connexió amb l'art 19 LPRL atès que la informació era necessària per valorar el dret de cada treballador d'obtenir una compensació horària.