Cercador de resolucions, dictàmens i informes

Una persona va denunciar que havia rebut una trucada d'un call center a l'efecte que es vacunés de la covid-19, en què se li va demanar el motiu pel qual no es volia vacunar, i se li va informar que la trucada seria gravada. L'Autoritat va tramitar un procediment sancionador contra el Departament de Salut, a qui es va amonestar per no haver complert amb el deure d'informació previst a l'art. 13 RGPD. Alhora, va arxivar la resta de fets denunciats, atès que, d'una banda, es va constatar que la trucada l'havia efectuat SEMSA, per compte del CatSalut, a qui el Departament havia encarregat efectuar aquelles trucades; i d'altra banda, es va constatar que la recollida del motiu de no voler-se vacunar (per lliure voluntat) estava emparat per la normativa sanitària aplicable.

Una persona (A) va presentar davant una empresa municipal una sol·licitud de renovació de la seva inscripció al Registre de sol·licitants d'Habitatge amb Protecció Oficial de Catalunya. L'empresa va incorporar erròniament aquesta sol·licitud en la fitxa del Registre que corresponia a una altra persona (B), la qual cosa va induir a error a l'Agència de l'Habitatge de Catalunya, qui erròniament va renovar la inscripció a B i va modificar el seu número de telèfon i a seva adreça de correu electrònic. Es sanciona l'empresa municipal amb una multa, per vulneració del principi d'exactitud.

Indra, en la seva condició de sotsencarregat del tractament, no va aplicar les mesures de seguretat de nivell bàsic exigides per SocMobilitat en el contracte d'encarregat de tractament, per garantir un nivell de seguretat adequat al risc (tendents a evitar que a aquestes dades hi poguessin accedir persones no autoritzades), atès que en configurar el portal d'accés a la T-Mobilitat no es va modificar la contrasenya que per defecte assigna el fabricant de la infraestrcutura "Liferay" a l'adminstrador, de tal manera que l'accés quedava obert, i al seu torn, accessible a tercers.

SocMobilitat (encarregat del tractament) no va determinar de manera adequada les mesures de seguretat apropiades per garantir un nivell de seguretat adequat al risc del tractament de dades encomanat a Indra (sotsencarregat del tractament) per a la implementació i gestió de la targeta T-Mobilitat, en tant que en el contracte d'encàrrec de tractament l'entitat SocMobilitat va indicar a Indra que les mesures de seguretat que havia d'implementar per a la prestació dels serveis objecte d'encàrrec eren de nivell bàsic, és a dir que va categoritzar el sistema com a bàsic, quan d'acord amb les circumstàncies concurrents en el tractament objecte d'encàrrec, el nivell bàsic no era suficient.

Es sanciona una entitat, absorbent d'una altra que, en el marc de la prestació d'un servei de vigilància de la salut. Va enviar correus de citació a diversos treballadors que erròniament contenien dades d'altres treballadors.

Es sanciona una entitat privada per haver encomanat la gestió de les cites de revisió mèdica dels treballadors a una altra entitat sense haver formalitzat el contracte de subencarregat del tractament, i sense haver sol·licitat al responsable del tractament l'autorització per subencarregar-lo.

En el marc de la contractació d'un servei privat d'ajuda domiciliària, l'entitat no va fer efectiu el dret d'informació de la persona interessada.

La sol·licitud de la societat mercantil local, a les entitats bancàries, de les dades d’identificació de les persones que han fet transferències bancàries per al pagament de drets funeraris dels quals no en consti la titularitat actualitzada pot estar emparat en la base jurídica de l’article 6.1.e) de l’RGPD. Pel que fa a les dades relatives al telèfon i l’adreça de correu electrònic de la persona que ha fet el pagament, un cop coneguda la seva identitat es considera compatible la utilització de les dades de contacte que la mateixa entitat tingui per a la gestió d’altres drets funeraris, com també la possibilitat  de posar-se en contacte amb la persona interessada emprant les dades que consten al Padró municipal d’habitants o a les bases de dades de l’INE, per tal que sigui la persona afectada qui les faciliti. En última instància, i de manera subsidiària respecte les vies que s’acaben d’exposar, la comunicació per part de les entitats bancaries de les dades de contacte de les persones que han efectuat els pagaments pot considerar-se compatible si amb caràcter previ es garanteix del dret de la persona afectada a oposar-s’hi.

La persona denunciant es queixava que l'empresa pública va acomiadar-la mentre es trobava en període de prova, a causa d'una fotografia que s'hauria fet mentre estava berenant durant la pausa laboral. S'arxiva la informació prèvia perquè no s'ha pogut acreditar que l'empresa denunciada hagi realitzat cap tractament de la imatge de la persona denunciant. Tampoc no existeix cap prova indiciaria que permeti deduir que l'empresa tingués cap interès a obtenir la fotografia de la persona denunciant per utilitzar-la per a les finalitats descrites per la persona denunciant, és a dir, per motivar la rescissió de la relació laboral.