Cercador de resolucions, dictàmens i informes

L’Autoritat considera que les previsions de la normativa en matèria de prevenció del blanqueig de capitals i del finançament del terrorisme sobre la realització d’una avaluació d’impacte en relació amb determinats tractaments de dades podrien interpretar-se, per al cas de les fundacions i associacions, en el sentit que només haurien de fer-la en el mateix moment en què, si s’escau, detectin fets que podrien ser indicis de blanqueig de capitals o de finançament del terrorisme, atesa l’obligació d’informar-ne al SEPBLAC. Això sens perjudici que, atesa la concurrència de certes particularitats, les entitats considerin oportú efectuar-la prèviament per al cas que es puguin trobar amb algun dels supòsits de comunicació que imposa la dita normativa.

S'arxiva la denúncia formulada contra una Fundació assistencial, en què la persona denunciant considerava que s'havien efectuat accessos indeguts a la seva història clínica compartida a Catalunya (HCCC), atès que es va constatar que la metge que hi va accedir ho va fer per assistir a la persona denunciant en una prova mèdica, i que la informació enregistrada sobre el centre d'accés en realitat corresponia a la informació sobre el centre a on aquesta metge prestava habitualment els seus serveis, que figurava en el seu perfil d'usuari.

Infracció de mesures de seguretat en el marc d'una auditoria interna duta a terme per la Fundació: 1) en el procés d'assignació de les noves contrasenyes, no es va garantir que les credencials estiguessin sota el control exclusiu dels usuaris, ja que en la primera entrada el sistema no forçava el canvi per part de l'usuari. 2) Això va comportar que tampoc es pogués garantir saber de forma indubtable què, qui i quan realitzà determinada actuació en el sistema informàtic. Aquesta manca de seguretat es va evidenciar especialment quan els auditors van crear unes noves credencials "ex novo" per al tècnic de sistemes, i amb aquestes noves credencials van accedir al seu equip de treball per tal d'evitar riscos en el sistema.

Per tal de poder tractar les dades relatives a l’estat vacunal de la Covid19 dels usuaris del centre per a l’organització de les activitats terapèutiques grupals sobre la base dels articles 6.1.c) i 9.2.i) de l’RGPD, caldria que les autoritats competents en matèria de salut pública estableixin alguna decisió en aquest sentit, la qual cosa no consta a data d’emissió d’aquest dictamen.

L’encreuament de dades anonimitzades procedents de diferents fonts per tal de desenvolupar un model matemàtic per a la prevenció d’epidèmies i pandèmies podria acabar identificant persones concretes, per la qual cosa cal mesurar, avaluar i gestionar aquest risc de reidentificació adoptant les mesures adequades per reduir-lo.

El dret a la protecció de dades no impedeix lliurar al comitè d’empresa la informació sobre les retribucions percebudes, per tots els conceptes, pels càrrecs assenyalats en llur sol·licitud d’accés, en la mesura que, per la informació de què es disposa, aquests ostentarien la condició de personal directiu de l’entitat o, en tot cas, ocuparien llocs de confiança o d’especial responsabilitat dins de l’organització.

Se archivan los hechos denunciados porque la carta sellada, dirigida a la persona usuaria del servicio hogar-residencia para personas discapacitadas, se depositó a un lugar privado por su destinatario (dentro de la mochila) y accesible por sus tutores legales, a pesar de la carencia de aviso concreto a los padres de tal actuación.

La persona denunciant es queixava perquè l'entitat gestora d'una llar residència per a persones amb discapacitat, hauria recollit imatges del seu fill sense el seu consentiment. S'arxiva la denúncia perquè l'entitat ha negat que n'hagi recollit imatges, i el correu electrònic genèric que l'entitat envià de manera massiva no és prova suficient de l'existència de tractament.

Tenint en compte els principis de limitació de la finalitat i de minimització (art. 5.1, apartats b) i c) RGPD), hi ha habilitació suficient (art. 6.1.c) RGPD i LTC), per comunicar al comitè d’empresa la identitat (nom i cognoms) i, si escau, la categoria professional dels treballadors de la Fundació, que consten segons la informació disponible en el cens laboral, als efectes de poder calcular i contrastar el crèdit d’hores mensuals atribuïdes als representants dels treballadors.

L’accés per part del reclamant a la identitat de les persones físiques compradores de les entrades per a la cerimònia d’inauguració dels XVII Jocs del Mediterrani, no sembla justificat per assolir la finalitat de transparència a efectes de control de les actuacions per part de l’entitat encarregada de l’organització. Per tant, caldria facilitar la informació relacionada amb la venda d’entrades prèvia anonimització de les seves dades. No hi hauria inconvenient en facilitar les dades merament identificatives dels càrrecs o empleats que constin en la documentació sol·licitada. L’accés a la identitat de les persones físiques destinatàries de les entrades lliurades per la Fundació com a contraprestació d’un contracte de patrocini o a títol gratuït resultaria justificat a efectes de transparència, tret dels casos en que es tracti de persones que formin part de col·lectius vulnerables i del supòsit en què hi concorrin circumstàncies concretes al·legades en el tràmit d’audiència previst als articles 31.1 i 42 de l’LTC que puguin limitar l’accés.