Buscador de resoluciones, dictámenes e informes

Procede el archivo de los hechos dado que, por un lado, el acceso al HC3 de las personas usuarias del sistema de salud público catalán solo se puede llevar a cabo por parte de personas que dispongan de un número de colegiación, excluyendo por lo tanto el personal auxiliar administrativo. Al respeto, por el que hace el acceso a la historia clínica, la normativa sanitaria habilita el acceso al personal auxiliar administrativo cuando este se lleve a cabo en el ejercicio de sus funciones. Así mismo, también se archiva el hecho relativo al uso de herramientas de comunicación interna como por ejemplo el whatsapp dado que no ha quedado probado que el personal del HUVH emplee la mencionada aplicación como herramienta de trabajo. Al hilo del anterior, tampoco ha quedado probado que el RAT sea inadecuado dado que el HUVH ha aportado el mencionado documento elaborado por el ICS, así como un documento intitulado "SubRAT" que se actualiza anualmente y que contiene los tratamientos de datos personales que lleva a cabo el hospital. En este sentido, la Autoridad también considera que la AIPD elaborada, en relación con el tratamiento de datos personales vinculado al SAP, recoge los extremos previstos en el artículo 35 RGPD. En último término, se archiva el hecho denunciado relativo a la carencia de formación del personal del HUVH, en la medida en que la entidad ha acreditado ofrecer cursos en materia de privacidad regularmente al sedes trabajadores.

Un ciudadano accede, a través de su carpeta personal a la sede electrónica del Ayuntamiento, a la documentación de una tercera persona en relación a un expediente que nada tiene que ver con su denuncia. Se imputa la vulneración del principio de confidencialidad. También consta acreditada la infracción del arte. 25 RGPD, de medidas técnicas desde el diseño y por defecto, si bien, efectuado concurso medial, solo se imputa por la infracción más grave.

En la recogida de los datos hay que facilitar toda la información prevista al artículo 13 del RGPD. En cumplimiento de las obligaciones de protección de datos en el diseño, el responsable del tratamiento tiene que adoptar las medidas técnicas y organizativas adecuadas para aplicar de manera efectiva los principios de protección de datos, entre los cuales el principio de confidencialidad. En el presente caso, no se garantizaba que las personas que se unieron al grupo de WhatsApp creado por el Ayuntamiento, no pudieran acceder al número de móvil, foto de perfil y nombre de usuario del resto de miembros.

El proceso de anonimización propuesto no permitiría garantizar un tratamiento de datos anónimos en el seno del Proyecto a desarrollar por la Universidad. Sin embargo, podría plantearse la opción de articular el tratamiento sobre la base del consentimiento explícito de las personas afectadas, sin perjuicio de la adopción de las medidas apropiadas para garantizar que este tratamiento se adecua al RGPD, como por ejemplo, facilitar una información detallada y clara al respecto, y aplicar las medidas señaladas al dictamen para dificultar la reidentificación.

El Ayuntamiento practicaba las notificaciones a los ciudadanos del municipio sin aplicar ninguna medida de protección que impidiera el acceso al contenido del documento a notificar, de manera que el agente notificador podía acceder al contenido íntegro de la notificación. Asimismo, para acreditar la práctica de la notificación facilitaba al agente notificador una copia del documento a notificar que tenía que firmar al destinatario.

El centro educativo o, si procede el ayuntamiento del cual dependa el jardin de infancia, es el responsable del tratamiento de los datos de los alumnos y de los padres, mientras que las empresas proveedoras de las aplicaciones objeto de la consulta serian encarregadas del tratamiento de estos datos. La utilización de las aplicaciones para la comunicación con los padres ligada al ejercicio de las funciones educativas y orientadoras, puede encontrar cobertura en el articulo 6.1.e) en relación con las previsiones de la LOE. En el caso que el tratamiento se quiera basar en el consentimiento, para que éste sea válido, los padres han de disponer de alternativas para poder seguir la agenda y las comunicaciones de la escuela, sin que ello les comporte un perjuicio.

En este Dictamen se analiza el contenido de la documentación aportada sobre un proyecto de  investigación europeo, en particular, en relación con las siguientes cuestiones: Determinación de la responsabilidad o, si procede, corresponsabilidad del tratamiento; Los flujos informativos previstos; Las transferencias internacionales de datos (TID); La seguridad; La utilización de datos anónimos o de la seudonimización. Con respecto al tratamiento de las imágenes captadas con cámaras por el Ayuntamiento, este, como responsable, tiene que disponer de base jurídica suficiente y tiene que asegurar el cumplimiento del resto de exigencias de la normativa de protección de datos. También hace falta facilitar un consentimiento informado en los términos del artículo 4.11, e informar a los afectados (art. 13 RGPD).