Buscador de resoluciones, dictámenes e informes

La persona denunciando ponía de manifiesto que desde el CABO Centelles se accedió a su HC3 en cuatro ocasiones, durante los meses de mayo de 2022, a pesar de no haber sido visitada en aquel centro sanitario. En respuesta, el DPD de la entidad denunciada ha confirmado ser el autor material de los accesos y los ha justificado argumentando que eran necesarios para poder dar respuesta a un requerimiento de información que esta Autoridad notificó a la mencionada entidad, en el marco de otra denuncia presentada por la misma persona denunciando. En relación con esto, durante la fase de información previa se ha podido constatar que, los accesos que llevó a cabo el delegado de protección de datos personales al HC3 de la denunciante estaban justificados, dado que se llevaron a cabo en el ejercicio de sus funciones, y para dar respuesta a un requerimiento de esta Autoridad. Por todo esto, procede el archivo de las presentes actuaciones.

Se amonesta el Ayuntamiento de Sant Boi de Llobregat como responsable de una infracción prevista en el artículo 83.5.a en relación con el artículo 5.1.f, ambos del RGPD, por el envío de un correo electrónico a numerosas personas sin utilizar la herramienta de copia oculta.

Se resuelve declarar que el Departamento de Salud ha cometido la infracción prevista en el artículo 83.5 a), en relación con el artículo 5 RGPD, que contempla el principio de exactitud de los datos personales, dado que la plataforma "Mi Salud" de la persona denunciando contiene información inexacta sobre los profesionales sanitarios que lo habrían asistido en diferentes consultas médicas. La discordancia también se manifiesta entre la información contenida por un lado a la HC del centro sanitario y la HC3; y por otro lado, en la información que consta al visor de LMS.

Un club deportivo de fútbol de nueva creación contactó con la Federación Catalana de Fútbol dado que cuando intentaba vincular dieciséis jugadores a su club, la Intranet federativa le mostraba un mensaje mediante el cual se lo informaba que los mencionados jugadores estaban vinculados a otro club deportivo. Al respeto, la persona denunciando se quejaba por el hecho que, desde la FCF se había enviado al mencionado club de nueva creación unas impresiones de pantalla que contenían los datos personales de los 16 jugadores que, en aquel momento, estaban vinculados a otro club. Pues bien, por su parte, la entidad denunciada ha reconocido haber enviado las impresiones de pantalla - con información personal de los jugadores (nombre, apellidos y DNI) - al club de nueva creación, a los efectos de mostrarle los pasos que tenía que seguir para poder inscribir a los jugadores, y ha argumentado que este hecho no constituye una comunicación ilícita de datos personales dado que el receptor de la información, ya era conocedor de estas información. Al respeto, añadía que, la Intranet muestra el mencionado mensaje después de que el club haya introducido los datos personales de los jugadores. En estos términos, procede el archivo de los hechos denunciados dado que, cuando la FCF envió los datos personales de los jugadores al Club que los intentaba inscribir, este ya disponía de la información.

Procede el archivo de los hechos dado que, por un lado, el acceso al HC3 de las personas usuarias del sistema de salud público catalán solo se puede llevar a cabo por parte de personas que dispongan de un número de colegiación, excluyendo por lo tanto el personal auxiliar administrativo. Al respeto, por el que hace el acceso a la historia clínica, la normativa sanitaria habilita el acceso al personal auxiliar administrativo cuando este se lleve a cabo en el ejercicio de sus funciones. Así mismo, también se archiva el hecho relativo al uso de herramientas de comunicación interna como por ejemplo el whatsapp dado que no ha quedado probado que el personal del HUVH emplee la mencionada aplicación como herramienta de trabajo. Al hilo del anterior, tampoco ha quedado probado que el RAT sea inadecuado dado que el HUVH ha aportado el mencionado documento elaborado por el ICS, así como un documento intitulado "SubRAT" que se actualiza anualmente y que contiene los tratamientos de datos personales que lleva a cabo el hospital. En este sentido, la Autoridad también considera que la AIPD elaborada, en relación con el tratamiento de datos personales vinculado al SAP, recoge los extremos previstos en el artículo 35 RGPD. En último término, se archiva el hecho denunciado relativo a la carencia de formación del personal del HUVH, en la medida en que la entidad ha acreditado ofrecer cursos en materia de privacidad regularmente al sedes trabajadores.

En relación con los datos publicados por el representante de un partido político en un pleno del ayuntamiento, se archiva porque no se ha demostrado que los datos publicados se hayan facilitado por parte del Ayuntamiento. Además, los datos publicados son incorrectos, cuestión esta inidiciària que la persona que las habría facilitado no estaba vinculada en el Ayuntamiento. En relación con la filtración de datos personales a través de un grupo de Whatsapp, este hecho también se archiva dado que el hecho que las fotografías de los cuadrados (con los turnos y los horarios) se hayan intercambiado en un grupo de whatsapp no es indicio suficiente que permita imputar una vulneración del principio de confidencialidad porque no consta acreditado que las personas del grupo sean miembros de la policía local del Ayuntamiento.

Se resuelve el archivo de las actuaciones puesto que la entidad denunciada ha justificado que el acceso controvertido al HC3 de la persona denunciando se produjo por un error de tecleo, en el marco del proyecto RedCov, en que se tenía que consultar determinados parámetros en varias historias clínicas.

The processing of the data necessary to carry out the tests of the personnel selection processes, including the health data of the participants, has as its legal basis the fulfillment of a mission in the public interest and the fulfillment of specific obligations of the administrations. competent authorities established by public service regulations. The recording of psychotechnical tests requires, in addition to their provision in the corresponding bases of the calls (with the specification and determination of the necessary specific guarantees), the prior completion of an AIPD. It does not seem that the legal basis of consent is adequate to legitimize the processing of the data of applicants for a selective process for the purpose described, given that it cannot be considered that in the case presented there could be truly free consent, nor the possibility to establish alternative means that would guarantee the principle of equality that must govern selective procedures.

Se resuelve amonestar la entidad denunciada dado que, a raíz de una solicitud de incapacidad permanente, presentada por la aquí denunciando, una médica emitió un dictamen médico, que incluía datos referidos en su salud, que no tenían nada que ver con la patología que motivó la petición de incapacidad. La persona denunciando fundamentaba su solicitud en determinadas lesiones crónicas de espaldas y pies, y el dictamen controvertido recogía información médica relacionada con una patología ginecológica, que nada tenía que ver con el expediente de IP. Este hecho se considera que vulneró el principio de minimización de datos personales, motivo por el cual se amonesta la Subdirección General de Evaluaciones Médicas.

Se dicta resolución por vulneración del principio de confidencialidad por el hecho que un recaudador del Consocio, en el marco de una delegación de competencias en materia de gestión y recaudación de tributos del Ayuntamiento de Bolvir, envió correos electrónicos a una dirección electrónica errónea, vinculada a un particular, que contenían datos personales de personas contribuyentes del municipio de Bolvir.