Seu Electrònica

La persona denunciant es queixava pel fet que, cada vegada que un professional sanitari accedia a la seva història clínica, no rebia un SMS informatiu del responsable del tractament. S'arxiven els fets, atès que l'estimació del dret d'oposició no obliga el responsable a dur a terme aquest tipus d'actuacions i, per tant, no suposa cap incompliment de la normativa de protecció de dades.

D'acord amb una sentència judicial, la persona denunciant ha de ser assistida en la presentació de denúncies davant les administracions públiques, com ho és aquesta Autoritat. Atès que no consta que la denúncia davant l'APDCAT s'hagi efectuat per mitjà del representant legalment requerit, no es poden dur a terme actuacions d'investigació.

Es resolt sancionar al Departament de Salut per no haver implementat, d'acord amb l'art 32 RGPD les mesures de seguretat adequades als riscos que comportava el registre a l'aplicació de La Meva Salut (LMS). També s'imputa el fet que terceres persones accedissin a LMS de 251 pacients, amb credencials vàlides obtingudes il·legítimament, i en manipulessin les dades personals. Aquesta actuació es considera contrària al principi d'exactitud de les dades (art. 5.1.e RGPD), atès que es van introduir dades de contacte errònies i es van fer peticions de prescripció de medicaments, alienes a la voluntat dels usuaris del sistema de salut.

S'acorda iniciar un procediment sancionador contra el COPATE per la vulneració de l'article 32 RGPD, atès que va donar resposta a una sol·licitud realitzada per telèfon, sense comprovar la identitat de la persona sol·licitant. En aquest procediment també s'imputa la vulneració del principi de confidencialitat, recollit a l'article 5.1.f RGPD, atès que el COPATE va difondre informació de 7 persones a un tercer.

La persona reclamant va sol·licitar la traçabilitat a la seva història clínica i, durant la tramitació de la reclamació, l’entitat reclamada ha exposat que li va lliurar una còpia de la traçabilitat abans que hagués transcorregut un mes. També ha completat la informació inicialment lliurada, d’acord amb les precisions de la persona reclamant. Finalment, l'entitat reclamada ha argumentat els motius pels quals no consten uns accessos relacionats amb la vacunació de la covid i ha ofert la possibilitat de lliurar aquesta informació. Atès que la persona reclamant no ha comunicat que consideri que li falta més informació, es conclou que ja ha tingut accés a tota la informació inicialment sol·licitada.

L’obligació de l’Administració d’efectuar l’avís de posada a disposició d’una notificació resta condicionada sempre al fet que la persona interessada hagi comunicat un dispositiu electrònic i/o una adreça de correu electrònic amb aquesta finalitat. Quan la persona interessada comunica que les notificacions successives deixin de practicar-se per mitjans electrònics i passin a efectuar-se en paper, l’Administració ha d’adoptar les mesures escaients per garantir que les dades de contacte inicialment facilitades no s’empraran per efectuar l’avís vinculat a la notificació electrònica complementària de l’article 42.1 de l’LPAC, tret que la persona interessada així ho hagi indicat.

D’acord amb la normativa de protecció de dades, la persona reclamant no pot accedir als butlletins, Rebut de Liquidació de Cotitzacions ( RLC ) i Relació Nominal de Treballadors RNT de la Seguretat Social amb les dades personals de les persones treballadores. Aquests documents només es poden facilitar un cop s’hagin anonimitzat les dades personals, de manera que no sigui possible identificar les persones treballadores concretes.

L'entitat va trametre al denunciant 20 missatges electrònics relacionats amb el treball, a una adreça electrònica diferent de la que havia designat a aquest efecte. Per aquest fet es declara que l'entitat ha infringit el principi d'exactitud de les dades. D'altra banda, entre aquests 20 missatges n'hi havia 5 que s'adreçaven a una pluralitat de destinataris, sense fer ús de l'opció còpia oculta. En conseqüència, totes les persones destinatàries van tenir coneixement de l'adreça electrònica de la resta, així com del fet que se'ls requeria una documentació determinada. Respecte d'aquest fet, es declara que l'entitat ha infringit el principi de confidencialitat. Ambdues infraccions previstes a l’art. 83.5.a, en relació amb els art. 5.1.d i 5.1.f, respectivament, de l’RGPD.

La publicació dels calendaris laborals a través d’una intranet corporativa o espai restringit d’accés dels treballadors, ha de garantir que aquesta difusió s’adeqüi al principi de minimització de dades establert a l’article 5.1.c de l’RGPD. Això implica que només es poden tractar les dades personals estrictament necessàries per a la finalitat legítima perseguida. En conseqüència, per a una finalitat de transparència per als treballadors i d’organització dels serveis, la informació publicada ha de limitar-se a allò essencial per assolir aquesta finalitat, evitant incloure dades personals excessives o no rellevants, com per exemple detalls mèdics o motius concrets de les absències. Pel que fa a la identificació dels treballadors, aquesta es podrà fer mitjançant la utilització de codis que siguin coneguts només per la persona interessada o implementant eines que permetin accessos restringits. La finalitat de transparència i informació als representants dels treballadors s’ha de fer pels canals i en els termes que la normativa laboral estableix, amb ple respecte a la normativa de protecció de dades..