Cercador de resolucions, dictàmens i informes

Es resol amonestar l'Institut Català de la Salut per la presumpta vulneració del principi de confidencialitat, atès que una professional d'infermeria hauria accedit a la història clínica de l'ara denunciant, sense que aquest accés estigués relacionat amb cap actuació assistencial, ni tampoc amb gestions administratives vinculades que el justifiquessin.

Una mare denuncià que l'escola havia demanat que el primer dia del curs escolar 2021-2022 aportessin el certificat de vacunació de covid-19 del seu fill menor d'edat (de 12 anys o més); que el dit certificat també es demanava al personal de l'escola, i que l'escola tenia accés a l'aplicació informàtica Traçacovid. La denúncia s'arxiva perquè, si bé es cert que inicialment l'escola els ho va demanar, abans d'iniciar el curs escolar va comunicar a les mares i pares d'alumnes que no l'aportessin (en base a una modificació de darrera hora del Pla d'actuació per al curs 2021‐2022 per a centres educatius en el marc de la pandèmia); d'altra banda, també s'arxiva perquè no hi ha constància que l'escola hagués recollit cap certificat de vacunació, i que l'escola va negar tant que requerís el certificat al seu personal, com haver accedit a la Traçacovid, i tampoc hi consten indicis. A banda dels motius d'arxiu, es conclou que el tractament de dades de salut per part dels centres educatius per motiu de la gestió dels casos positius de covid-19, estaria emparada pels 6.1.e) i 9.2.g) i i) de l'RGPD.

Es declara extemporània la resolució de la DGP, atès que el dret de supressió es va resoldre i notificar superat el termini d'1 mes establert a l'efecte, sense entrar en altres consideracions respecte el fons, ja que la DGP va resoldre suprimir les dades de la persona reclamant.

La normativa de protecció de dades no impedeix l’accés de la regidora a la informació sobre les altes i baixes del Padró ocorregudes en el període especificat, incloent la data d’alta o baixa, sense que, a la vista del que s’exposa a la consulta, resulti justificat incloure el nom i cognoms, ni el número de DNI o l’adreça de les persones empadronades, ni cap altra dada que permeti relacionar la informació amb persones identificades o identificables. Pel que fa als regidors i regidores de l’equip de govern es poden identificar amb el seu nom i cognoms indicant la data en que s’ha produït l’alta o baixa, però no seria ajustat a la normativa de protecció de dades facilitar l’accés als certificats de convivència.

L'entitat no ha comunicat a l'Autoritat Catalana de Protecció de Dades la designació d'un delegat/ada de protecció de dades que, d'acord amb l'article 37.1 de l'RGPD, és de designació obligatòria per l'entitat.

L' Ajuntament va enviar un correu electrònic a tots els treballadors municipals informant d'un enllaç que els permetia accedir al contingut de tots els recursos de reposició que s'havien presentat contra l'Acord d'aprovació de la RLT, sense la prèvia anonimització de les dades personals allà contingudes. En relació amb aquests fets, l'Ajuntament no va notificar la violació de seguretat a l'Apdcat.

S'arxiva la denúncia, atès que les úniques dades personals que contenia el document que va publicar el regidor del govern municipal a través del mur de Facebook sobre temes veïnals, era el nom i cognoms del denunciant com a representant d'una entitat del municipi. Una informació que els veïns del poble, usuaris de dita xarxa social, ja coneixien. A més, aquesta mateixa informació era accessible a través d'internet, on consta publicat que la persona denunciant és el president de dita entitat.

Es resol amonestar l'Ajuntament atès que durant un temps indeterminat que, com a mínim, comprèn els mesos de novembre de 2020 fins gener de 2021, no disposava d'un anàlisi de riscos de les dades personals que tractava, ni havia implementat totes les mesures de seguretat i tècniques, de conformitat amb l'Esquema Nacional de Seguretat, tal com exigeix l'article 32 RGPD, en relació amb la gravació de trucades telefòniques mantingudes per la policia local. D'altra banda, la difusió per part d'un agent de la Policia Local a altres agents del cos, del contingut d'una conversa telefònica que va mantenir la persona denunciant amb una treballadora del Servei d'Emergències Mèdiques, va contravenir el principi de confidencialitat.

S'imputa el principi de licitud. El trasllat de la resolució va suposar comunicar la identitat de les persones pressuptament assetjadora i assetjada; i, a més, algunes dades de salut de la persona assetjada al president del sindicat. Es vulnera l'article 5.1.a) i 6.1 RGPD, al no existir cap base jurídica legitimadora. A més, pel que fa a la comunicació de dades de salut, també es vulnera l'article 9.2 RGPD.

Un Ajuntament va publicar en diversos diaris oficials i al web municipal, un anunci de notificació d'un decret d'alcaldia a una pluralitat de persones, que contenia un llistat de 381 immobles que inicialment l'Ajuntament considerava desocupats permanentment, i que identificava amb la referència cadastral i l'adreça exacta de cada immoble, junt amb el número complet del DNI de les persones subjectes passius de l'IBI corresponent en cada cas. Es sanciona a l'Ajuntament amb amonestació, com a responsable de la infracció molt greu per vulneració del principi de licitud, per haver efectuat la publicació sense la concurrència de cap base jurídica. La publicació de l'adreça dels immobles junt amb la resta de dades publicades (ref. cadastral i núm. DNI) es considera excessiva per a la finalitat prevista (notificació de l'acte), però la infracció corresponent a aquest fet, referida a la vulneració del principi de minimització, queda subsumida en la infracció per vulneració del principi de licitud.