Buscador de resoluciones, dictámenes e informes

Una persona denunció que había recibido una llamada de un callo center al efecto que se vacunara de la covid-19, en que se le pidió el motivo por el cual no se quería vacunar, y se le informó que la llamada sería grabada. La Autoridad tramitó un procedimiento sancionador contra el Departamento de Salud, a quien se amonestó por no haber cumplido con el deber de información previsto al arte. 13 RGPD. A la vez, archivó el resto de hechos denunciados, dado que, por un lado, se constató que la llamada lo había efectuado SEMSA, por cuenta del CatSalut, a quien el Departamento había encargado efectuar aquellas llamadas; y por otro lado, se constató que la recogida del motivo de no quererse vacunar (por libre voluntad) estaba amparado por la normativa sanitaria aplicable.

Una persona (A) presentó ante una empresa municipal una solicitud de renovación de su inscripción al Registro de solicitantes de Vivienda con Protección Oficial de Cataluña. La empresa incorporó erróneamente esta solicitud en la ficha del Registro que correspondía a otra persona (B), lo cual indujo a error a la Agencia de la Vivienda de Cataluña, quien erróneamente renovó la inscripción a B y modificó su número de teléfono y a suya dirección de correo electrónico. Se sanciona la empresa municipal con una multa, por vulneración del principio de exactitud.

Indra, en su condición de sotsencarregat del tratamiento, no aplicó las medidas de seguridad de nivel básico exigidas por SocMobilitat en el contrato de encargado de tratamiento, para garantizar un nivel de seguridad adecuado al riesgo (tendentes a evitar que a estos datos pudieran acceder personas no autorizadas), dado que al configurar el portal de acceso a la T-Movilidad no se modificó la contraseña que por defecto asigna el fabricante de la infraestrcutura "Liferay" a la adminstrador, de tal manera que el acceso quedaba abierto, y a su vez, accesible a terceros.

SocMobilitat (encargado del tratamiento) no determinó de manera adecuada las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos encomendado a Indra (sotsencarregat del tratamiento) para la implementación y gestión de la tarjeta T-Movilidad, en cuanto que en el contrato de encargo de tratamiento la entidad SocMobilitat indicó a Indra que las medidas de seguridad que tenía que implementar para la prestación de los servicios objete de encargo eran de nivel básico, es decir que categorizó el sistema como básico, cuando de acuerdo con las circunstancias concurrentes en el tratamiento objete de encargo, el nivel básico no era suficiente.

Se sanciona una entidad, absorbente de otra que, en el marco de la prestación de un servicio de vigilancia de la salud. Envió correos de citación a varios trabajadores que erróneamente contenían datos otros trabajadores.

Se sanciona una entidad privada por haber encomendado la gestión de las citas de revisión médica de los trabajadores a otra entidad sin haber formalizado el contrato de subencarregat del tratamiento, y sin haber solicitado al responsable del tratamiento la autorización por subencarregar-*lo.

En el marco de la contratación de un servicio privado de ayuda domiciliaria, la entidad no hizo efectivo el derecho de información de la persona interesada.

La solicitud de la sociedad mercantil local, a las entidades bancarias, de los datos de identificación de las personas que han realizado transferencias bancarias para cuyo pago de derechos funerarios no conste cuya titularidad actualizada puede estar amparado en la base jurídica del artículo 6.1.e) del RGPD. En cuanto a los datos relativos al teléfono y la dirección de correo electrónico de la persona que ha realizado el pago, una vez conocida su identidad se considera compatible la utilización de los datos de contacto que la propia entidad tenga para la gestión de otros derechos funerarios, así como la posibilidad de ponerse en contacto con la persona interesada empleando los datos que constan en el Padrón municipal de habitantes o en las bases de datos del INE, para que sea la persona afectada quien las facilite. En última instancia, y de forma subsidiaria respecto a las vías que se acaban de exponer, la comunicación por parte de las entidades bancarias de los datos de contacto de las personas que han efectuado los pagos puede considerarse compatible si con carácter previo se garantiza del derecho de la persona afectada a oponerse.

La persona denunciando se quejaba que la empresa pública la despidió mientras se encontraba en periodo de prueba, a causa de una fotografía que se habría hecho mientras estaba merendando durante la pausa laboral. Se archiva la información previa porque no se ha podido acreditar que la empresa denunciada haya realizado ningún tratamiento de la imagen de la persona denunciando. Tampoco existe ninguno prueba indiciaria que permita deducir que la empresa tuviera ningún interés a obtener la fotografía de la persona denunciando para utilizarla para las finalidades descritas por la persona denunciando, es decir, para motivar la rescisión de la relación laboral.