Cercador de resolucions, dictàmens i informes

El COMB, en el marc de la tramitació d'un dret d'accés a un expedient, va facilitar còpia de certificats de notificació de correus, que contenien dades personals dels receptors de les notificacions.

Es resol que l'Ajuntament de La Canonja ha vulnerat l'article 5.1.a de l'RGPD, atès que l'entitat no disposa de cap base jurídica que legitimi el tractament de dades biomètriques dels seus treballadors. També la vulneració de l'article 35 de l'RGPD, perquè no havia fet una avaluació d'impacte en matèria de protecció de dades. A més, es requereix a l'entitat que posi a disposició del seu personal un sistema alternatiu de control horari, que no comporti el tractament de categories especials de dades.

Arran d'una pregunta, feta a través d'un programa radiofònic, l'alcalde va revelar que el denunciant és deutor de l'ajuntament. L'entitat defensa que la informació era pública, atès que consta a la sentència publicada al Centre de Documentació Judicial, que és accessible pel públic. Tanmateix, es constata que les sentències que fan referència al cas no esmenten en cap moment el denunciant (amb nom i cognoms), sinó a dos partits polítics, que són els deutors reals de l'ajuntament. S'imputa vulneració del principi d'exactitud.

L'Ajuntament ha comès dues infraccions: 1. Va suprimir 3 correus electrònics que formaven part de l'objecte del dret d'accés de la sol·licitant i va informar-la que no disposaven de més correus electrònics, quan no era així; 2. Va obstaculitzar les tasques inspectores de l'Autoritat, en no facilitar la informació sol·licitada.

Es resol que l'Ajuntament ha vulnerat el principi de licitud, atès que una treballadora de l'entitat va facilitar les seves claus personals d'accés a diferents aplicacions a una tercera treballadora, que es va incorporar a l'Ajuntament i que necessitava accedir als programes per exercir les seves funcions. Aquest tractament és il·lícit, atès que no hi havia cap base jurídica que legitimés que una treballadora fes ús de l'usuari i contrasenya d’una altra.

Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.

Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.

Es resol declarar que, amb anterioritat al 05/03/2023, l'HCB no havia implementat les mesures de seguretat -tècniques i organitzatives- adequades per garantir un nivell de seguretat adequat al risc dels tractaments de dades personals que duia a terme. Tampoc havia realitzat una anàlisi de riscos per definir les mesures de seguretat requerides, tal com exigeixen els apartats 1r i 2n de l'article 32 RGPD. La plataforma informàtica que va ser objecte de ciberatac emmagatzemava informació de l'HCB i també d'altres entitats vinculades (Barnaclínic SA, CAPSBE i la FRCB-IDIBAPS); per tant, el volum i sensibilitat de la informació exigien una especial diligència en la seva custòdia i seguretat.

Es declara que l'entitat va cometre la infracció tipificada a l'article 83.4.a, en relació amb l'article 5.1.f, ambdós de l'RGPD, perquè no va implementar les mesures de seguretat necessàries a l’hora d’enviar informes pericials que contenien dades especialment protegides a la tècnica que els havia elaborat, quan aquesta ja no pertanyia a l'entitat perquè era jubilada. La tramesa es va fer a una adreça gmail designada per la receptora, però sense xifrar ni encriptar-ne el contingut.

Es resol declarar que l'Ajuntament ha comès les infraccions de l'article 5.1. de l’RGPD, apartats c i d, referides als principis de minimització i de limitació del termini de conservació. Ha mantingut accessibles a internet dues actes de les sessions plenàries municipals dels dies 14/04/2014 i 24/11/2017, més enllà del temps necessari. Aquestes actes contenien dades personals excessives per a la finalitat pretesa.