Cercador de resolucions, dictàmens i informes

En atenció a la informació disponible, la formalització d’un contracte d’encarregat del tractament per a la prestació de certs serveis socials en el municipi consultant hauria d’efectuar-se entre l’entitat religiosa i el consorci. En el cas que la prestació del servei fos per compte i interès del consell comarcal però, aquest contracte hauria de formalitzar-se entre el dit consell comarcal i l’entitat religiosa.

La persona denunciant es queixa que l'hospital en què se li està subministrant un tractament mèdic ha facilitat les seves dades personals a una empresa externa, sense el seu consentiment. Es constata que l'empresa que ha tractat les dades és un encarregat del tractament que fa ús de les seves dades per complir una de les finalitats del responsable del tractament, CatSalut. Concretament, per a un tractament mèdic subscrit al denunciant. Per aquest motiu, es dicta resolució d'arxivament.

Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.

Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.

Es canvia el criteri inicial (en què es considerava el CTTI corresponsable) i es declara que el CTTI, com a encarregat del tractament, ha comès una infracció molt greu per no haver seguit les instruccions del responsable (els departaments, etc.). També per no haver vetllat perquè, en les trucades del SAU, les entitats subencarregades informessin sobre protecció de dades, cosa que incloïa informar que la trucada podia ser gravada.

El denunciant es queixava del següent: que un efectiu dels Mossos d’Esquadra havia revelat les seves dades relatives a una investigació policial a terceres persones; d’una trucada intimidatòria del mateix agent a un advocat; i de l'anul·lació d'una cita. S'arxiven les actuacions per manca de proves que els fets s'hagin produït, d'acord amb el principi de presumpció d'innocència. A més s'indica que, si la trucada intimidatòria s’hagués produït, les coaccions a un advocat no és un assumpte competència d'aquesta Autoritat. Pel que fa a l'anul·lació d'una cita, s'indica que aquest fet per si mateix no és una infracció de protecció de dades. Resolució conjunta amb la IP 209/2024.

El denunciant es queixava del següent: que un efectiu dels Mossos d’Esquadra havia revelat les seves dades relatives a una investigació policial a terceres persones; d’una trucada intimidatòria del mateix agent a un advocat; i de l'anul·lació d'una cita. S'arxiven les actuacions per manca de proves que els fets s'hagin produït, d'acord amb el principi de presumpció d'innocència. A més s'indica que, si la trucada intimidatòria s’hagués produït, les coaccions a un advocat no és un assumpte competència d'aquesta Autoritat. Pel que fa a l'anul·lació d'una cita, s'indica que aquest fet per si mateix no és una infracció de protecció de dades. Resolució conjunta amb la IP 209/2024.

Es canvia el criteri inicial (en què es considerava el Departament de Salut i el CTTI corresponsables) i es declara que el Departament de Salut, com a únic responsable del tractament, ha comès una infracció molt greu per no haver verificat que les entitats prestadores del servei (CTTI i empreses sotsencarregades) no informaven sobre protecció de dades en les trucades del SAU, inclòs el fet que la trucada podia ser gravada.

Es declara que l'Ajuntament ha comès una infracció molt greu per vulneració del principi de minimització, per haver publicat al web municipal i a la plataforma YouTube la gravació d'una sessió del ple, en què un regidor del govern revelava indirectament l'orientació sexual d'un regidor de l'oposició. D'altra banda, s'arxiva la part de la denúncia referida a la revelació d'aquesta dada durant la celebració del ple, per considerar que no hi concorre el grau de culpabilitat necessari per imputar una infracció per aquest tractament.