Buscador de resoluciones, dictámenes e informes

El Departamento de Presidencia, a través de la Comisión de Control del Plan de Pensiones, no subscribió el correspondiente contrato de encargado del tratamiento con las entidades gestoras y depositarias del plan de pensiones.

La unidad de Recursos Humanos de un Ayuntamiento acabó accediendo, a través de su Servicio de Prevención de Riesgos Laborales, a la información sobre si una trabajadora suya se había inoculado la 2.ª dosis de la covid19.

Se archiva la denuncia porque se considera que la Fundación Pere Mitjans, como encargada del tratamiento del CSSB, podía acceder a las reuniones que celebraron el Departamento de DS y CSSB en las cuales se trataba el asunto relativo en el retorno del hijo de la persona reclamante al hogar residencia gestionada por la dicha Fundación.

El Departamento de Salud encargó a SEMSA la contratación del servicio de seguimiento de los contactos estrechos con personas infectadas de covid-19, lo cual comportaba el tratamiento de datos personales. Y a tal efecto SEMSA contrató la empresa privada Ferroser Servicios Auxiliares, S. A., sin formalizar el encargo del tratamiento en un contrato tal como exige el arte. 28 RGPD, lo cual es constitutivo de infracción.

La comunicación de datos personales que hizo la Escuela a una empresa externa (Tokapp SL) sin el consentimiento de los padres del alumno afectado no constituye la comisión de una infracción, dado que la controvertida cesión de datos se hizo en el marco de un contrato de encargado del tratamiento, donde la Escuela actuaba como RT y la empresa como TE. El artículo 33 LOPDGDD determina que el intercambio de los datos personales necesarios por la prestación del servicio contratado, no se considera una comunicación de datos personales.

Se archiva la denuncia dado que el ORGT tuvo acceso a la dirección de correo electrónico que la persona afectada había comunicado previamente al Ayuntamiento, en su condición de encargado del tratamiento como consecuencia de la prestación del servicio que le había sido delegado por acuerdo del Pleno del ayuntamiento.

Los Ayuntamientos pueden facilitar los datos personales relativos al DNI-NIF, CIF o NIE de su padrón municipal de habitantes en la empresa gestora del servicio de abastecimiento de agua potable, si esta empresa actúa como encargada del tratamiento de los datos personales que le son necesarios para llevar a cabo aquel servicio en el municipio, en los términos establecidos en el artículo 12 de la LOPD y a la Disposición adicional 26ª del TRLCSP, dado que la comunicación de los datos mencionados no tendrá consideración de cesión de datos personales. Caso que el fichero creado para la gestión del servicio de abastecimiento de agua potable sea de titularidad de la empresa gestora del servicio de abastecimiento de agua, el Ayuntamiento sólo podrá cederle estos datos si cuenta con el consentimiento de los afectados, dado que no se ha podido constatar ninguna habilitación legal que autorice a hacer esta cesión

Examinado el texto del Convenio objeto de consulta, se considera que este se adecua a la normativa de protección de datos si se tienen en cuenta las consideraciones hechas en este dictamen.

Los flujos de información que describe la consulta comportan la necesidad de establecer un contrato o acuerdo entre el encargado del tratamiento y cada uno de los responsables del tratamiento con el contenido mínimo que requiere el artículo 12 del LOPD. Esta pluralidad de encargos del tratamiento a un mismo encargado se traduce en la existencia de una pluralidad de conjuntos de datos.