Buscador de resoluciones, dictámenes e informes

Vulneración del principio de licitud dado que el tratamiento de datos biométricos de las y los estudiantes, no está incluido en ninguno de las excepciones previstas por el artículo 9.2 RGPD, para el tratamiento de categorías especiales de datos.

La persona reclamante ejerció su derecho de oposición en los efectos que la FUOC no facilitara sus datos personales a (...). Al respeto, esta Autoridad no puede desconocer que (...) ostenta la condición de encargada del tratamiento de la FUOC y que, la base jurídica que legitima la remisión de datos a (...) es, precisamente, la ejecución de un contrato. Por el expuesto, dado que el tratamiento de datos personales controvertido, no se mete dentro de los supuestos que prevé el artículo 21 RGPD, para el ejercicio del derecho de oposición, procede desestimar la presente reclamación de tutela del derecho de oposición.

El acceso y obtención de una copia, por parte de la Junta de personal, de la documentación acreditativa de los méritos alegados por las personas participantes en un proceso de provisión no se adecua a la normativa de protección de datos, por lo que debería limitarse la consulta a la identidad de las personas que han obtenido un puesto de trabajo y las puntuaciones obtenidas en los diferentes méritos valorados.

El denunciante, en su condición de alumno de la UAB, recibió un correo electrónico informativo del día internacional de la mujer trabajadora. En no querer recibir más correos de este tipo, respondió el correo de la Universidad, de forma que su mensaje fue recibido por terceras personas ajenas a su remitente. Este hecho es atribuible a su actuación, y no a un error humano o informática de la entidad denunciada que haya comportado una vulneración de la normativa de protección de datos, motivo por el cual se archiva la denuncia.

Dado que la entidad reclamada libró parcialmente la información objeto del derecho de acceso, procede estimar la reclamación, y requerir la FUOC para que dé cumplimiento a la literalidad del artículo 15 RGPD librando al reclamando cualquier dato que tenga en su poder referida a su persona, dando por sentado que, además de la entrega de los datos previstos en el artículo mencionado, como mínimo, se tendrán que librar los documentos que se señalen en este cimiento de derecho, así como otra información referida al reclamante, que abra en poder de la entidad reclamada.

Una persona se había grabado en una universidad a efectos de recibir información sobre unos estudios, a los cuales finalmente no se matriculó, y solicitó la supresión de sus datos personales, sin conseguir tal supresión. La Autoridad desestima su reclamación, en atención al hecho que la universidad no había suprimido sus datos porque esta persona no acreditó su identidad, a pesar de habérselo requerido, y la dirección electrónica desde la que formuló la solicitud de supresión no figuraba en las bases de datos de la universidad.

Una ex trabajadora de la UOC, que mantenía el rol como estudiante, seguía recibiendo correos electrónicos vinculados con sus funciones como trabajadora (ppi. licitud) y podía seguir accediendo a una carpeta con información de otras personas (medidas seguridad).

El proceso de anonimización propuesto no permitiría garantizar un tratamiento de datos anónimos en el seno del Proyecto a desarrollar por la Universidad. Sin embargo, podría plantearse la opción de articular el tratamiento sobre la base del consentimiento explícito de las personas afectadas, sin perjuicio de la adopción de las medidas apropiadas para garantizar que este tratamiento se adecua al RGPD, como por ejemplo, facilitar una información detallada y clara al respecto, y aplicar las medidas señaladas al dictamen para dificultar la reidentificación.

La recogida de datos tiene que respetar el principio de lealtad. Para el tratamiento de categorías especiales de datos, es necesario que contribuya alguna de las circunstancias previstas al artículo 9.2 RGPD. En la recogida de datos se tiene que hacer efectivo el derecho de información. Para determinar las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, hay que efectuar uno análisis de riesgos. Con carácter previo al tratamiento, hay que realizar una evaluación de impacto relativa a la protección de datos cuando el tratamiento comporte un alto riesgo para los derechos y libertades de las personas afectadas. El delegado de protección de datos tiene que participar de manera adecuada y en el momento oportuno en todas las cuestiones relativas a la protección de datos personales.

A partir de la información de la cual se dispone, el tratamiento de datos relativo a la comunicación de un censo universitario al Departamento de Salud, mediante el Consejo Interuniversitario de Cataluña, no dispone de habilitación desde el punto de vista de la normativa de protección de datos, al no estar amparado por la normativa de salud pública.