Cercador de resolucions, dictàmens i informes

La publicació controvertida només fa referència a l'actuació d’un grup municipal, però no conté cap dada personal ni cap referència que permeti identificar una persona física, malgrat que aquesta actuació l'hagués fet una persona física com a representant del grup municipal.

Es resol fer una advertència al GM Vox de l'Ajuntament de Barcelona per l'enviament d'un correu electrònic als empleats municipals, per desitjar-los bones festes. Si bé el correu corporatiu (dada personal) es va emprar amb una finalitat diferent de la prevista, aquesta actuació no té prou entitat per justificar la incoació d'un procediment sancionador, atès el següent: les adreces electròniques eren corporatives (i no personals); estaven publicades a la intranet de l'entitat; i el missatge enviat tenia certa naturalesa de convenció social.

Estimació parcial de la reclamació. Pel que fa a la forma, es desestima la reclamació atès que l'entitat reclamada va respondre en termini la sol·licitud de la reclamant. Pel que fa al fons, s'estima parcialment la reclamació atès que l'entitat reclamada no ha fet efectiu el dret de rectificació exercit. L'entitat reclamada ha d'incorporar a la història clínica de la reclamant els informes sobre el diagnòstic actual. La incorporació d'aquests informes, en cap cas suposen o impliquen una anotació aclaridora dels anteriors, ni afecten els diagnòstics mèdics prèviament emesos.

Es resol que l'Ajuntament ha vulnerat el principi de licitud, atès que una treballadora de l'entitat va facilitar les seves claus personals d'accés a diferents aplicacions a una tercera treballadora, que es va incorporar a l'Ajuntament i que necessitava accedir als programes per exercir les seves funcions. Aquest tractament és il·lícit, atès que no hi havia cap base jurídica que legitimés que una treballadora fes ús de l'usuari i contrasenya d’una altra.

La persona reclamant es queixa que la Direcció General de la Policia del Departament d'Interior de la Generalitat de Catalunya (DGP) no ha atès la seva petició d'accés a dades d'antecedents policials. S'estima parcialment la reclamació, atès que la DGP no va respondre en termini la sol·licitud. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat fer efectiu el dret d'accés.

Resum: La persona denunciant era agent de la Policia Local (PL) i es queixava de l'actuació del cap i altres membres de la PL per haver difós que se li havia retirat l'arma reglamentària, a causa d'unes diligències policials de la PG-ME. La difusió es va fer mitjançant correus electrònics i altres canals de comunicació interns.
Es declara que l'ajuntament ha comès una infracció greu per no haver adoptat mesures de seguretat (art. 83.4.a, en relació amb l’art. 25, tots dos de l'RGPD), pel fet d'haver creat un repositori electrònic en el qual emmagatzemava tots els informes policials que emetia, sense establir-hi cap restricció en l'accés.
D'altra banda, en l'acord d'iniciació es van arxivar la resta de fets denunciats referits a la difusió d'aquesta informació, per diversos motius: 1) D'acord amb l'LO 7/2021, la difusió era necessària per fer efectiva la mesura cautelar de retirada de l'arma i la va efectuar una autoritat competent en l'exercici de les seves funcions, o bé era necessària per adoptar i/o mantenir les mesures de seguretat adoptades posteriorment, per evitar el risc d'atemptar contra la integritat física d'una persona; 2) D'acord amb l'RGPD, era necessari per complir les funcions de responsabilitat de la persona destinatària, o bé per organitzar el servei correctament.

L'ajuntament ha comès dues infraccions: 1. No va informar dels ítems de l'article 13 de l'RGPD les persones que es prestaven a ser enregistrades pel videomaton instal·lat durant una fira municipal; 2. No tenia el consentiment dels afectats per difondre les imatges enregistrades pel videomaton, ni cap altra base jurídica que legitimés aquest tractament de dades.

Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.

L'Ajuntament va lliurar còpia d'un expedient a un interessat, en el qual per error s'adjuntaven dues nòmines d'una tercera persona. S'imputa una infracció de l'article 83.5.a de l'RGPD, per vulneració del principi establert a l'article 5.1.f del mateix RGPD.

Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.