Cercador de resolucions, dictàmens i informes

Es resol sancionar FMB S.A degut a què la manca d'implementació de mesures tècniques i organitzatives apropiades, li ha impedit localitzar l'expedient personal de la persona que va prestar serveis a l'empresa denunciada. Aquest fet, vulnera l'article 32.1 RGPD que disposa l'obligació del responsable del tractament de garantir la disponibilitat i seguretat de les dades personals.

Es resol amonestar l'Ajuntament atès que durant un temps indeterminat que, com a mínim, comprèn els mesos de novembre de 2020 fins gener de 2021, no disposava d'un anàlisi de riscos de les dades personals que tractava, ni havia implementat totes les mesures de seguretat i tècniques, de conformitat amb l'Esquema Nacional de Seguretat, tal com exigeix l'article 32 RGPD, en relació amb la gravació de trucades telefòniques mantingudes per la policia local. D'altra banda, la difusió per part d'un agent de la Policia Local a altres agents del cos, del contingut d'una conversa telefònica que va mantenir la persona denunciant amb una treballadora del Servei d'Emergències Mèdiques, va contravenir el principi de confidencialitat.

S'arxiva la denúncia sobre com un Hospital va realitzar el trasllat de documentació d'una secció sindical a una altra sala de dins l'hospital, atès que el dit trasllat es va dur a terme sense posar en risc la protecció de les dades personals allà contingudes, i les mesures de seguretat adoptades per fer-ho eren les adequades per garantir la seva seguretat i confidencialitat.

Indra, en la seva condició de sotsencarregat del tractament, no va aplicar les mesures de seguretat de nivell bàsic exigides per SocMobilitat en el contracte d'encarregat de tractament, per garantir un nivell de seguretat adequat al risc (tendents a evitar que a aquestes dades hi poguessin accedir persones no autoritzades), atès que en configurar el portal d'accés a la T-Mobilitat no es va modificar la contrasenya que per defecte assigna el fabricant de la infraestrcutura "Liferay" a l'adminstrador, de tal manera que l'accés quedava obert, i al seu torn, accessible a tercers.

SocMobilitat (encarregat del tractament) no va determinar de manera adequada les mesures de seguretat apropiades per garantir un nivell de seguretat adequat al risc del tractament de dades encomanat a Indra (sotsencarregat del tractament) per a la implementació i gestió de la targeta T-Mobilitat, en tant que en el contracte d'encàrrec de tractament l'entitat SocMobilitat va indicar a Indra que les mesures de seguretat que havia d'implementar per a la prestació dels serveis objecte d'encàrrec eren de nivell bàsic, és a dir que va categoritzar el sistema com a bàsic, quan d'acord amb les circumstàncies concurrents en el tractament objecte d'encàrrec, el nivell bàsic no era suficient.

El responsable del tractament ha d'implementar les mesures adequades per garantir que les converses mantingudes entre el seu personal i les persones pacients, no puguin ser escoltades per terceres persones no autoritzades. És necessari efectuar una anàlisi de riscos per determinar les mesures de seguretat aplicables.

El CTTI, en la seva condició d'encarregat del tractament, no va implementar les mesures de seguretat adequades per garantir les dades personals que tractava a compte del responsable del tractament (Dept EDU). Això, va permetre que un alumne, al moment de fer una preinscripció telemàtica a una determinada formació, li apareguessin en pantalla les dades d'un tercer.

S'arxiva la queixa de la persona denunciant sobre una presumpta pèrdua d'un document excel on es contenia el còmput de les hores extres realitzades pels treballadors del PHPT, atès que el Departament de Justícia informa que encara conserva el fitxer en el qual es recullen les hores extraordinàries dels treballadors, i que aquestes, a més, des de l'any 2017, consten incloses al sistema informàtic emprat per la gestió de personal (SIPC).

La persona denunciant es queixava per diverses qüestions relacionades amb la tramitació de la seva sol·licitud de dependència:

1) En primer lloc, es queixava pel fet que la sol·licitud de dependència s'acompanyava d'un informe de salut on s'indicava expressament el diagnòstic vinculat a la situació de dependència, ja que considerava que era suficient amb la indicació del codi de diagnòstic, que també hi ha de figurar. Aquest motiu s'arxiva per considerar que la seva indicació expressa és necessària, ja que la codificació no recull tots els diagnòstics actuals; també perquè resulta útil per detectar codis erronis, i facilita la comprensió al personal tramitador no titulat en Medicina, i a la mateixa persona afectada.
2) En segon lloc, manifestava vulneració de la seva confidencialitat i de mesures de seguretat pel fet que accedeixi a les dades de la seva sol·licitud una treballadora social i personal de diverses entitats. Aquest motiu de queixa també s'arxiva en constatar que els treballadors socials participen en la tramitació d'aquestes sol·licituds, i que les terceres entitats són encarregades del tractament, que es disposava de la corresponent regulació de l'encàrrec, i que la denúncia era inconcreta.
3) En tercer lloc, denunciava que la persona avaluadora que va fer-li la visita al seu domicili tenia la titulació de Fisioteràpia, i no de Medicina, i que només es va identificar amb el seu DNI. Aquest motiu de denúncia també s'arxiva, en considerar que els motius de queixa no són constitutius d'una infracció de la normativa de protecció de dades, i que en tot cas la normativa sectorial preveu que aquest personal avaluador pugui tenir titulació de Fisioterapeuta.