Buscador de resoluciones, dictámenes e informes

Una madre denunció que la escuela había pedido que el primer día del curso escolar 2021-2022 aportaran el certificado de vacunación de covid-19 de su hijo menor de edad (de 12 años o más); que el dedo certificado también se pedía al personal de la escuela, y que la escuela tenía acceso a la aplicación informática Traçacovid. La denuncia se archiva porque, si bien se cierto que inicialmente la escuela se lo pidió, antes de iniciar el curso escolar comunicó a las madres y padres de alumnos que no lo aportaran (en base a una modificación de última hora del Plan de actuación para el curso 2021‐2022 para centros educativos en el marco de la pandemia); por otro lado, también se archiva porque no hay constancia que la escuela hubiera recogido ningún certificado de vacunación, y que la escuela negó tanto que requiriera el certificado a su personal, como haber accedido a la Traçacovid, y tampoco constan indicios. Además de los motivos de archivo, se concluye que el tratamiento de datos de salud por parte de los centros educativos por motivo de la gestión de los casos positivos de covid-19, estaría amparada por los 6.1.e) y 9.2.g) y y) del RGPD.

Se declara extemporánea la resolución de la DGP, dado que el derecho de supresión se resolvió y notificar superado el plazo de 1 mes establecido al efecto, sin entrar en otras consideraciones respeto el fondo, puesto que la DGP resolvió suprimir los datos de la persona reclamante.

La normativa de protección de datos no impide el acceso de la regidora a la información sobre las altas y bajas del Padrón ocurridas en el periodo especificado, incluyendo la fecha de alta o baja, sin que, a la vista del que se expone a la consulta, resulte justificado incluir el nombre y apellidos, ni el número de DNI o la dirección de las personas empadronadas, ni ningún otro dato que permita relacionar la información con personas identificadas o identificables. En cuanto a los regidores y regidoras del equipo de gobierno se pueden identificar con su nombre y apellidos indicando la fecha en que se ha producido el alta o baja, pero no sería ajustado a la normativa de protección de datos facilitar el acceso a los certificados de convivencia.

La entidad no ha comunicado a la Autoridad Catalana de Protección de Datos la designación de un delegado/ada de protección de datos que, de acuerdo con el artículo 37.1 del RGPD, es de designación obligatoria por la entidad.

El Ayuntamiento envió un correo electrónico a todos los trabajadores municipales informando de un enlace que los permitía acceder al contenido de todos los recursos de reposición que se habían presentado contra el Acuerdo de aprobación de la RLT, sin la previa anonimización de los datos personales allá contenidas. En relación con estos hechos, el Ayuntamiento no notificó la violación de seguridad a la Apdcat.

Se archiva la denuncia, dado que los únicos datos personales que contendía el documento que publicó el regidor del gobierno municipal a través del muro de Facebook sobre temas vecinales, era el nombre y apellidos del denunciante como representante de una entidad del municipio. Una información que los vecinos del pueblo, usuarios de dicha red social, ya conocían. Además, esta misma información era accesible a través de internet, donde consta publicado que la persona denunciando es el presidente de dicha entidad.

Se resuelve amonestar el Ayuntamiento dado que durante un tiempo indeterminado que, como mínimo, comprende los meses de noviembre de 2020 hasta enero de 2021, no disponía de un análisis de riesgos de los datos personales que trataba, ni había implementado todas las medidas de seguridad y técnicas, en conformidad con el Esquema Nacional de Seguridad, tal como exige el artículo 32 RGPD, en relación con la grabación de llamadas telefónicas mantenidas por la policía local. Por otro lado, la difusión por parte de un agente de la Policía Local a otros agentes del cuerpo, del contenido de una conversación telefónica que mantuvo la persona denunciando con una trabajadora del Servicio de Emergencias Médicas, contravino el principio de confidencialidad.

Se imputa el principio de licitud. El traslado de la resolución supuso comunicar la identidad de las personas pressuptament acosadora y asediada; y, además, algunos datos de salud de la persona asediada al presidente del sindicato. Se vulnera el artículo 5.1.a) y 6.1 RGPD, al no existir ninguna base jurídica legitimadora. Además, en cuanto a la comunicación de datos de salud, también se vulnera el artículo 9.2 RGPD.

Un Ayuntamiento publicó en varios diarios oficiales y en el web municipal, un anuncio de notificación de un decreto de alcaldía a una pluralidad de personas, que contendía un listado de 381 inmuebles que inicialmente el Ayuntamiento consideraba desempleados permanentemente, y que identificaba con la referencia catastral y la dirección exacta de cada inmueble, junto con el número completo del DNI de las personas sujetas pasivos del IBI correspondiendo en cada caso. Se sanciona en el Ayuntamiento con amonestación, como responsable de la infracción muy grave por vulneración del principio de licitud, por haber efectuado la publicación sin la concurrencia de ninguna base jurídica. La publicación de la dirección de los inmuebles junto con el resto de datos publicados (ref. catastral y n.º DNI) se considera excesiva para la finalidad prevista (notificación del acto), pero la infracción correspondiente a este hecho, referida a la vulneración del principio de minimización, queda subsumida en la infracción por vulneración del principio de licitud.

Se declara que la DGP, en relación con la parte de la solicitud de la persona reclamante que hace referencia al ejercicio del derecho de acceso a los datos contenidos al fichero SIP PF, no ha atendido dentro de plazo el derecho ejercido, sin entrar en otras consideraciones respeto el fondo en cuanto al acceso a los datos contenidos al fichero SIP PF, puesto que por medio de la resolución de la DGP se ha resuelto facilitarle sus datos; y se estima parcialmente la reclamación en cuanto a la parte de la solicitud de la persona reclamante que hace referencia al ejercicio del derecho de acceso a los datos contenidos al fichero SIP PFMEN, por desatención del derecho de acceso a los dichos datos.