Seu Electrònica

El denunciant es queixa que una tercera persona que no el coneixia de res va rebre un correu electrònic del seu gimnàs, que contenia un enllaç per mitjà del qual, sense posar cap contrasenya de seguretat, va poder accedir a una fitxa personal amb totes les seves dades. Es declara la vulneració del principi d'exactitud i de l'article 25 de l'RGPD.

Se sanciona per vulnerar el principi de confidencialitat, per l'enviament d’un correu electrònic a múltiples destinataris sense utilitzar l'opció de còpia oculta, que duia adjunt un llistat amb el nom i cognoms de voluntaris de l'Special Olympics.

El denunciant es queixa que un treballador municipal (un bidell) va fer unes fotos del seu fill, que s'havia fet mal entrenant en el camp esportiu municipal, i les havia difós. S’arxiven les actuacions, atès que no ha quedat acreditat que l’autoria de la fotografia del menor lesionat i la seva difusió posterior recaigui en el bidell de l’ajuntament.

Un club esportiu de futbol de nova creació va contactar amb la Federació Catalana de Futbol atès que quan intentava vincular setze jugadors al seu club, la Intranet federativa li mostrava un missatge mitjançant el qual se l'informava que els esmentats jugadors estaven vinculats a un altre club esportiu. Al respecte, la persona denunciant es queixava pel fet que, des de l'FCF s'havia enviat a l'esmentat club de nova creació unes impressions de pantalla que contenien les dades personals dels 16 jugadors que, en aquell moment, estaven vinculats a un altre club. Doncs bé, per la seva banda, l'entitat denunciada ha reconegut haver enviat les impressions de pantalla - amb informació personal dels jugadors (nom, cognoms i DNI) - al club de nova creació, als efectes de mostrar-li els passos que havia de seguir per poder inscriure als jugadors, i ha argumentat que aquest fet no constitueix una comunicació il·lícita de dades personals atès que el receptor de la informació, ja era coneixedor d'aquestes informació. Al respecte, afegia que, la Intranet mostra l'esmentat missatge després que el club hagi introduït les dades personals dels jugadors. En aquests termes, escau l'arxivament dels fets denunciats atès que, quan l'FCF va trametre les dades personals dels jugadors al Club que els intentava inscriure, aquest ja disposava de la informació.

La persona denunciant considerava que, per mitjà de la publicació dels resultats de les competicions d'escacs, organitzades per l'FCE, es difonien i conservaven dades de salut dels participants tota vegada que, per participar en la competició, calia exhibir el Passaport Covid-19. Al respecte, la informació relativa a si una persona està vacunada o ha sofert una malaltia, constitueix dades de salut de conformitat amb l'article 4 RGPD. Tanmateix, en aquest cas, l'FCE ha argumentat de manera suficient que, d'una banda, per complir amb la legalitat vigent, havia d'exigir l'exhibició del Passaport Covid-19 als participants en les competicions i, d'altra banda, que hi havia persones que mostraven un test d'antígens, PCR o document d'exempció de vacunació. En aquestes circumstàncies, no es pot afirmar que la publicació de les referides actes, permetessin a terceres persones relacionar les persones identificades a les actes, amb el fet que s'haguessin vacunat contra la Covid-19, tota vegada que, hi havia persones que podien no estar vacunades, i haver presentat una PCR o un test d'antígen, i d'altres que disposaven d'un document d'exempció de vacunació. Per aquests motius, escau arxivar els fets denunciats.

L'FCF posava a disposició dels clubs esportius de futbol un formulari a través del qual, els clubs havien d'identificar els membres amb llicència federativa que eren positius de Covid-19 i les persones federades amb qui havien estat contacte estret. Així mateix, també havien d'informar de la data d'inici de símptomes i del seu estat vacunal. Al respecte, l'FCF ha argumentat que la recollida de dades es va dur a terme en compliment del Pla d'Acció per al Desconfinament Esportiu de la Generalitat de Catalunya, en el marc del qual, l'FCF elaborà el seu Protocol per a minimitzar els contagis per Covid-19. Així les coses, cal assenyalar que, la Resolució SLT/3652/2021, de 7 de desembre, vigent en el moment dels fets denunciats, es remetia al contingut del Pla d'acció pel desconfinament esportiu en tot allò que no la contradigués. En relació amb l'anterior, cal fer avinent que, conèixer quines persones eren positives de Covid-19, la data de presentació de símptomes, i el seu estat vacunal, era informació necessària per a l'adopció de decisions relacionades amb l'organització de la competició esportiva. A la vista de l'exposat, cal concloure que el tractament denunciat restava habilitat per l'article 6.1 c) RGPD, concorrent les excepcions previstes a l'article 9.2 g) i i), en connexió amb la normativa vigent en matèria de salut pública i de prevenció del contagi de la Covid-19.

La persona denunciant es queixava pel fet que el Parc Esportiu Municipal Guiera, gestionat per l'Ajuntament de Cerdanyola del Vallès, condicionava l'accés a les persones usuàries del centre esportiu, a l'exhibició del Passaport Covid-19. En relació amb això, escau assenyalar que, la Resolució SLT/3787/2021, de 23 de desembre, vigent en el moment dels fets, preveia l'exigència de presentar el certificat de vacunació, prova diagnòstica o de recuperació de la Covid-19 per accedir "a sales i gimnasos on es practica activitat física i/o esportiva". En aquests termes, escau assenyalar que el tractament denunciat restava habilitat per l'article 6.1 RGPD apartat c) atès que fou necessari per al compliment d'una obligació legal i que, concorrien les excepcions previstes a l'article 9.2 g) RGPD, que disposa que el tractament de dades de salut ha de ser necessari per raons d'interès públic essencial, i per l'excepció de l'apartat i) del referit article, que preveu que el tractament ha de ser necessari per raons d'interès públic en l'àmbit de la salut pública. En darrer terme, la persona denunciant es queixava pel fet que personal del PEM Guiera accedís a les seves dades personals, sense obtenir prèviament el seu consentiment. Tanmateix, consultat per aquesta Autoritat, la persona denunciant va confirmar no haver exhibit el Passaport covid-19 al personal del PEM Guiera quan se li requerí, i l'entitat denunciada ha argumentat que, el personal del centre, van actuar en l'exercici de llurs funcions, pel que no s'observa cap incompliment de la legislació vigent.

La captació, l’enregistrament i la difusió d’imatges de persones físiques identificades o identificables al pavelló municipal, constitueix un tractament de dades personals sotmès als principis i obligacions de l’RGPD, que podria resultar lícit als efectes de l’article 6.1.f) RGPD, sempre que s’apliquin les garanties específiques, específicament, en relació amb el deure d’informació i amb el principi de minimització. Convé aclarir les responsabilitats dels subjectes intervinents per tal de determinar qui ostenta la condició de responsable del tractament, així com  la justificació de la utilització de mecanismes basats en la intel·ligència artificial.

La difusió d’imatges de persones físiques identificades o identificables que ocupaven un càrrec públic o una professió de projecció pública, o de persones que apareguin com a merament accessòries (especialment en cas d’imatges de persones menors d’edat), en actes o esdeveniments esportius públics organitzats per l’Ajuntament, podria tenir suficient base jurídica (art. 6.1.e) RGPD), sempre que l’Ajuntament tingui en compte les consideracions que s’exposen en aquest dictamen.