Buscador de resoluciones, dictámenes e informes

La normativa de protección de datos no impide el acceso de la persona reclamante a la información relativa a las personas jurídicas oa los informes que no contengan información personal. Tampoco impide el acceso a la información meramente identificativa del compliance officer y de los abogados externos que han redactado los informes. Ahora bien, respecto a la información relativa a las personas presuntamente responsables, la persona denunciante y, en su caso, testigos, debe facilitarse de forma anónima. Y en la medida en que no sea posible la anonimización efectiva, el acceso debe facilitarse a través de un resumen de las actuaciones practicadas, de forma que no sean identificables las personas físicas afectadas.

Se resuelve archivar la presente denuncia dado que el Ayuntamiento denunciado y, en concreto, el Inspector en Jefe de la Policía Local, incluyó referencias en los datos de salud de la persona denunciando - que ostenta la condición de agente local - dado que estas eran necesarias para dirimir la conveniencia de iniciar un expediente disciplinario contra su persona, por un presunto abandono de servicio por motivos de salud. Así pues, esta Autoridad concluye que el tratamiento de datos personales controvertido restaba amparado por el artículo 6.1 e) - tratamiento realizado en el ejercicio de poderes públicos - y que concurrían las circunstancias previstas a los apartados f) y g) del artículo 9.2 RGPD, que levantan la prohibición de tratar datos de salud del artículo 9.1 RGPD.

La normativa de protección de datos no impediría el acceso de la persona reclamante a la información contenida en el expediente de la aplicación del protocolo contra el acoso escolar, relativa a su persona e hija menor en la medida en que sea titular de la potestad parental. Tampoco habría inconveniente en facilitar el acceso a los datos meramente identificativos de los empleados públicos o cargos públicos encargados de la tramitación del expediente de acoso, ni de los maestros, tutores o directora del centro en el que se produjeron los hechos, que puedan constar. Asimismo, se podría facilitar acceso a los datos identificativos de las personas que han facilitado información sobre la hija del reclamante ya la información que sobre aquélla aportaron al expediente, salvo que a raíz del trámite de audiencia resulte algún motivo que justifique su limitación. En caso de que el expediente contenga categorías especiales de datos de otras personas distintas de la hija del reclamante habría que denegar el acceso a esta información.

Se constata un acceso indebido a HC por parte de una persona profesional sanitaria, hecho que vulnera el principio de confidencialidad de los datos. Responsabilidad de la entidad por actas materialmente cometidos por su personal

Indra, en su condición de sotsencarregat del tratamiento, no aplicó las medidas de seguridad de nivel básico exigidas por SocMobilitat en el contrato de encargado de tratamiento, para garantizar un nivel de seguridad adecuado al riesgo (tendentes a evitar que a estos datos pudieran acceder personas no autorizadas), dado que al configurar el portal de acceso a la T-Movilidad no se modificó la contraseña que por defecto asigna el fabricante de la infraestrcutura "Liferay" a la adminstrador, de tal manera que el acceso quedaba abierto, y a su vez, accesible a terceros.

SocMobilitat (encargado del tratamiento) no determinó de manera adecuada las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos encomendado a Indra (sotsencarregat del tratamiento) para la implementación y gestión de la tarjeta T-Movilidad, en cuanto que en el contrato de encargo de tratamiento la entidad SocMobilitat indicó a Indra que las medidas de seguridad que tenía que implementar para la prestación de los servicios objete de encargo eran de nivel básico, es decir que categorizó el sistema como básico, cuando de acuerdo con las circunstancias concurrentes en el tratamiento objete de encargo, el nivel básico no era suficiente.

Un inspector de Educación incorporó información innecesaria relativa a la vida laboral de la persona denunciando en el informe que emitió para dar respuesta a una petición del Síndico de Agravios, actuación con la cual vulneró el principio de minimización, dado que dio más información de la necesaria por la finalidad pretensa.

El denunciante se queja del hecho que le hicieron enviar documentación médica por email y que esto propiciaría el accès a datos médicos por parte del personal administrativo no sanitario. Se dicta RA dado que se trataba de un envío excepcional puesto que el paciente pidió asistencia urgente por teléfono para la prescripción de medicación por el dolor y como el último informe médico todavía no constaba en el HC3, dado que había sido emitido aquel mismo día en otro centro médico, se le pidió que lo envíes por correo electrónico para poder llevar a cabo la prescripción médica. Estos correos los gestiona el personal administrativo que tiene encomendadas estas funciones y, además, la gestión no implica acceder a la documentación médica; únicamente si acontece imprescindible para la realización de sus funciones. Arte. 16 Ley 41/2022.

Se prepara RA dado que la persona denunciando fue la que en uno en torno a trabajo, reveló sus resultados de COVID (y los de su mujer) a otros compañeros. Lo hizo a efectos organizativos. A la vez, su jefe comunicó los resultados (y los de su esposa) a una compañera encargada de llevar a cabo funciones organizativas. A pesar de que no era necesario revelar los datos sobre los resultados de su esposa, resultaría desproporcionado hacer responsable de este hecho a la entidad denunciada, cuando fue el propio denunciante quién reveló la información en un entorno voluntario, de confianza entre compañeros. Así mismo, hay que resaltar que el responsable denunciado confirmó que había efectuado una auditoría de accesos y confirmó que no se había producido ningún acceso a los datos del denunciante.

Se resuelve amonestar el Colegio oficial de veterinarios de Barcelona, por la vulneración del principio de licitud, dado que esta entidad trasladó a un centro veterinario la consulta deontológica que una usuaria planteó al COVB, en relación con la atención recibida al referido centro veterinario, sin que hubiera una base jurídica que legitimara el tratamiento de los datos del ahora denunciante.