Seu Electrònica

Es resol sancionar l'Ajuntament d'Arbúcies per la comissió de 5 infraccions : 1.- L'Ajuntament no disposa de l'autorització emesa per la DGAS del Departament d'Interior; 2.- El dret d'informació en relació al sistema de videovigilància es fa efectiu de manera incompleta; 3.- L'Ajuntament no disposa de Registre d'Activitats de Tractament 4.- L'Ajuntament no ha comunicat la designació del seu Delegat de Protecció de Dades 5.- Vulneració del principi de transparència atès que la informació que apareix a la seva Web relativa al tractament de dades personals és confusa i es troba dispersa.

En el marc de l'assistència sanitària pública, l'hospital d'una fundació privada va proporcionar a 252 pacients uns dispositius per al seguiment i control dels nivells de glucosa, que comportaven la recollida de dades per part del laboratori privat que proporcionava els dispositius i l'aplicació de suport. El laboratori va recollir nombroses dades per a finalitats assistencials, comercials i de promoció i millora dels seus productes, així com d'investigació i estadístiques, sense informar-ne prèviament els pacients. A més, en el full de consentiment informat, es va supeditar l'accés al servei públic a l'acceptació del tractament de dades per a finalitats comercials. I en el contracte d'encarregat subscrit amb la fundació només s'assenyalava que el laboratori es limitaria a recollir les dades necessàries per a enviar els dispositius als usuaris. D'altra banda, el denunciant va sol·licitar l'accés a informació sobre les finalitats dels tractaments duts a terme pel laboratori privat, però la fundació es va limitar a reenviar la seva sol·licitud al laboratori, el qual no va donar-hi resposta satisfactòria. L'Autoritat va imposar una multa a la fundació per la comissió de 4 infraccions: 1) Infracció molt greu per vulneració del principi de lleialtat i transparència, i infracció molt greu per proporcionar informació parcial i errònia. 2) Infracció molt greu per manca de licitud o tractament il·legítim. 3) Infracció greu per manca de contracte d'encarregat. 4) infracció molt greu per manca d'atenció al dret d'accés.

El Consorci no informava degudament sobre el tractament d'imatges captades per les càmeres de videovigilància, que estan instal·lades en els edificis que componen el centre de salut assistencial. 1) El cartell informatiu que senyalitza la càmera de l'entrada a un dels accessos principals del centre assistencial, està instal·lat en un lloc que no és prou visible per les persones afectades, abans d'accedir a l'angle de captació de la càmera. 2) El RAT del Consorci no conté la informació específica sobre l'activitat de tractament de la imatge dels pacients amb fins de vigilància en l'àmbit de la salut mental, per la prestació dels serveis assistencials i prevenir conductes autolítiques i/o suïcides. Aquesta informació tampoc està recollida a la informació addicional sobre el tractament de dades personals, a la qual es remeten els cartells informatius.

La persona denunciant exposava que, per mitjà del sistema de recollida de residus "porta a porta", l'Ajuntament de Matadepera vinculava les escombraries amb les persones generadores dels residus, fet que considera que contravé la normativa de protecció de dades personals. En el marc de les actuacions d'investigació que va iniciar l'Autoritat no es va constatar que, en l'execució d'aquest servei, es vulnerés l'RGPD o l'LOPDGDD. De fet, el tractament de dades personals controvertit està emparat per l'article 6.1 RGPD, atès que és necessari en l'exercici dels poders públics atribuïts als ens locals. Al seu torn, la normativa sectorial atribueix als ajuntaments la competència exclusiva en matèria de recollida de residus, mentre que la Llei 7/2022, de residus i sòls contaminats, estableix que cal prioritzar els models de recollida més eficients, com ara el porta a porta. Es resol arxivar les actuacions, atès que el tractament denunciat és lícit conforme l'RGPD.

 

Es resol declarar que l'Ajuntament de Vall-llobrega ha infringit l'article 25.1 RGPD, relatiu a la protecció de les dades des del disseny i per defecte, atès que va crear un grup de WhatsApp per fer comunicats institucionals, sense adoptar mesures tècniques apropiades per preservar la seguretat de les dades. En concret, totes les persones que n'eren membres podien accedir a la fotografia i al número de telèfon de la resta de participants. Així mateix, també es resol declarar que l'Ajuntament de Vall-llobrega va infringir l'article 13 RGPD, atès que, en el moment que els participants s'unien al grup, no es facilitava la informació referida al tractament de les seves dades

 Escau concloure que l'Ajuntament ha adequat la informació que s'ofereix sobre protecció de dades en el marc del tràmit de les sol·licituds de targeta de permís d'armes, atès que facilita la informació prevista a l'article 13 de l'RGPD de manera accessible i transparent a la pàgina principal del tràmit (des de la qual s'accedeix a la sol·licitud en paper i a la sol·licitud telemàtica).

L'ajuntament ha comès dues infraccions: 1. No va informar dels ítems de l'article 13 de l'RGPD les persones que es prestaven a ser enregistrades pel videomaton instal·lat durant una fira municipal; 2. No tenia el consentiment dels afectats per difondre les imatges enregistrades pel videomaton, ni cap altra base jurídica que legitimés aquest tractament de dades.

Es canvia el criteri inicial (en què es considerava el CTTI corresponsable) i es declara que el CTTI, com a encarregat del tractament, ha comès una infracció molt greu per no haver seguit les instruccions del responsable (els departaments, etc.). També per no haver vetllat perquè, en les trucades del SAU, les entitats subencarregades informessin sobre protecció de dades, cosa que incloïa informar que la trucada podia ser gravada.

Es resol declarar que l'Ajuntament de Riudaura ha infringit l'article 13 RGPD, atès que en la implantació d'un nou sistema de gestió de residus va recollir dades personals dels usuaris del servei i no ha pogut acreditar que hagués informat prèviament. Així mateix, es declara que l'entitat ha vulnerat l'obligació de disposar d'un delegat de protecció de dades personals, atès que en data 11/12/2023 la corporació no tenia cap persona que fes aquestes funcions.