Cercador de resolucions, dictàmens i informes

La Fundació podria enviar un correu electrònic informant sobre la formació que impartirà aquest estiu als seus exalumnes sobre la base jurídica de l’interès legítim, sempre que la dita informació es limiti al programa de formació examinat i s’adreci exclusivament als exalumnes de cicles de formació professional de fins a 35 anys, a qui se’ls hauria de facilitar l’opció d’oposar-se a rebre comunicacions d’aquest tipus.

L’Autoritat considera que les previsions de la normativa en matèria de prevenció del blanqueig de capitals i del finançament del terrorisme sobre la realització d’una avaluació d’impacte en relació amb determinats tractaments de dades podrien interpretar-se, per al cas de les fundacions i associacions, en el sentit que només haurien de fer-la en el mateix moment en què, si s’escau, detectin fets que podrien ser indicis de blanqueig de capitals o de finançament del terrorisme, atesa l’obligació d’informar-ne al SEPBLAC. Això sens perjudici que, atesa la concurrència de certes particularitats, les entitats considerin oportú efectuar-la prèviament per al cas que es puguin trobar amb algun dels supòsits de comunicació que imposa la dita normativa.

Una mare denuncià que l'escola havia demanat que el primer dia del curs escolar 2021-2022 aportessin el certificat de vacunació de covid-19 del seu fill menor d'edat (de 12 anys o més); que el dit certificat també es demanava al personal de l'escola, i que l'escola tenia accés a l'aplicació informàtica Traçacovid. La denúncia s'arxiva perquè, si bé es cert que inicialment l'escola els ho va demanar, abans d'iniciar el curs escolar va comunicar a les mares i pares d'alumnes que no l'aportessin (en base a una modificació de darrera hora del Pla d'actuació per al curs 2021‐2022 per a centres educatius en el marc de la pandèmia); d'altra banda, també s'arxiva perquè no hi ha constància que l'escola hagués recollit cap certificat de vacunació, i que l'escola va negar tant que requerís el certificat al seu personal, com haver accedit a la Traçacovid, i tampoc hi consten indicis. A banda dels motius d'arxiu, es conclou que el tractament de dades de salut per part dels centres educatius per motiu de la gestió dels casos positius de covid-19, estaria emparada pels 6.1.e) i 9.2.g) i i) de l'RGPD.

S'arxiva la denúncia formulada contra una Fundació assistencial, en què la persona denunciant considerava que s'havien efectuat accessos indeguts a la seva història clínica compartida a Catalunya (HCCC), atès que es va constatar que la metge que hi va accedir ho va fer per assistir a la persona denunciant en una prova mèdica, i que la informació enregistrada sobre el centre d'accés en realitat corresponia a la informació sobre el centre a on aquesta metge prestava habitualment els seus serveis, que figurava en el seu perfil d'usuari.

Infracció de mesures de seguretat en el marc d'una auditoria interna duta a terme per la Fundació: 1) en el procés d'assignació de les noves contrasenyes, no es va garantir que les credencials estiguessin sota el control exclusiu dels usuaris, ja que en la primera entrada el sistema no forçava el canvi per part de l'usuari. 2) Això va comportar que tampoc es pogués garantir saber de forma indubtable què, qui i quan realitzà determinada actuació en el sistema informàtic. Aquesta manca de seguretat es va evidenciar especialment quan els auditors van crear unes noves credencials "ex novo" per al tècnic de sistemes, i amb aquestes noves credencials van accedir al seu equip de treball per tal d'evitar riscos en el sistema.

Per tal de poder tractar les dades relatives a l’estat vacunal de la Covid19 dels usuaris del centre per a l’organització de les activitats terapèutiques grupals sobre la base dels articles 6.1.c) i 9.2.i) de l’RGPD, caldria que les autoritats competents en matèria de salut pública estableixin alguna decisió en aquest sentit, la qual cosa no consta a data d’emissió d’aquest dictamen.

L’encreuament de dades anonimitzades procedents de diferents fonts per tal de desenvolupar un model matemàtic per a la prevenció d’epidèmies i pandèmies podria acabar identificant persones concretes, per la qual cosa cal mesurar, avaluar i gestionar aquest risc de reidentificació adoptant les mesures adequades per reduir-lo.

El dret a la protecció de dades no impedeix lliurar al comitè d’empresa la informació sobre les retribucions percebudes, per tots els conceptes, pels càrrecs assenyalats en llur sol·licitud d’accés, en la mesura que, per la informació de què es disposa, aquests ostentarien la condició de personal directiu de l’entitat o, en tot cas, ocuparien llocs de confiança o d’especial responsabilitat dins de l’organització.

Se archivan los hechos denunciados porque la carta sellada, dirigida a la persona usuaria del servicio hogar-residencia para personas discapacitadas, se depositó a un lugar privado por su destinatario (dentro de la mochila) y accesible por sus tutores legales, a pesar de la carencia de aviso concreto a los padres de tal actuación.

La persona denunciant es queixava perquè l'entitat gestora d'una llar residència per a persones amb discapacitat, hauria recollit imatges del seu fill sense el seu consentiment. S'arxiva la denúncia perquè l'entitat ha negat que n'hagi recollit imatges, i el correu electrònic genèric que l'entitat envià de manera massiva no és prova suficient de l'existència de tractament.