Seu Electrònica

Es resol amonestar l'Ajuntament de La Garriga atès que no ha dut a terme l'avaluació d'impacte necessària en relació amb el tractament de dades personals que duu a terme en el marc de la prestació del servei de recollida de residus "porta a porta"; no té el RAT actualitzat; i no va facilitar el dret d'informació a les persones usuàries de l'esmentat servei de conformitat amb l'article 11 LOPDGDD.

La persona reclamant demanava a la DGP l'accés a les seves dades personals que constessin als fitxers de l'àmbit dels sistemes d'informació de la Policia de la Generalitat (SIP PF i SIP PFMEN). S'estima la reclamació presentada per la persona reclamant, atès que la DGP no va respondre en termini la seva sol·licitud i no es requereix cap actuació a la DGP, atès que va donar resposta ajustada a dret a la sol·licitud de la persona reclamant.

Una persona va denunciar que, en el marc d'una assistència sanitària privada, va rebre una carta en què se li comunicava la programació d'una prova mèdica on figurava el seu número de CIP i el seu domicili, tot i no haver-los facilitat a l'entitat privada. L'Autoritat va sancionar la fundació imputada amb una multa, per haver vulnerat el principi de licitud, en haver tractat dades provinents de l'assistència pública en el marc de la prestació d'assistència privada. També es van imputar dues infraccions més: una, per vulneració del principi de limitació de la finalitat, que no es va sancionar perquè queda subsumida en la vulneració del principi de licitud; i una altra per vulneració del deure de protecció de dades des del disseny i per defecte, que tampoc es va sancionar per concurs ideal d'infraccions.

S'estima el dret d'accés perquè l'Ajuntament va respondre de forma extemporània i incomplerta. De totes maneres, en relació a l'accés a les dades que permetrien identificar a les persones que van donar el seu testimoni en un cas de prevenció de riscos obert contra la persona reclamant, es proposa que abans de donar l'accés a aquesta informació, l'Ajuntament pugui traslladar la petició del dret d'accés a les persones afectades perquè, si escau, puguin exercir el seu dret d'oposició al tractament de les seves dades personals.

Es desestima la reclamació atès que, en el present cas, manca el requisit principal per tal de poder exigir al responsable del tractament que dugui a terme la supressió de les dades personals, doncs la persona que sol·licitava aquesta supressió no constava com la titular de la dada personal a suprimir. En aquest sentit, B:SM ha acreditat que ha estat en tot moment proactiva, perquè va requerir a la persona sol·licitant que acredités la seva identitat, i ha donat una resposta ajustada a les circumstàncies del cas.

Un club esportiu de futbol de nova creació va contactar amb la Federació Catalana de Futbol atès que quan intentava vincular setze jugadors al seu club, la Intranet federativa li mostrava un missatge mitjançant el qual se l'informava que els esmentats jugadors estaven vinculats a un altre club esportiu. Al respecte, la persona denunciant es queixava pel fet que, des de l'FCF s'havia enviat a l'esmentat club de nova creació unes impressions de pantalla que contenien les dades personals dels 16 jugadors que, en aquell moment, estaven vinculats a un altre club. Doncs bé, per la seva banda, l'entitat denunciada ha reconegut haver enviat les impressions de pantalla - amb informació personal dels jugadors (nom, cognoms i DNI) - al club de nova creació, als efectes de mostrar-li els passos que havia de seguir per poder inscriure als jugadors, i ha argumentat que aquest fet no constitueix una comunicació il·lícita de dades personals atès que el receptor de la informació, ja era coneixedor d'aquestes informació. Al respecte, afegia que, la Intranet mostra l'esmentat missatge després que el club hagi introduït les dades personals dels jugadors. En aquests termes, escau l'arxivament dels fets denunciats atès que, quan l'FCF va trametre les dades personals dels jugadors al Club que els intentava inscriure, aquest ja disposava de la informació.

L'entitat denunciada va enviar les factures impagades per l'arrendatària d'un immoble propietat de la persona denunciant, a la persona denunciant atès que aquesta era la titular de la pòlissa contractada per al subministrament de l'aigua i, per tant, l'obligada al pagament de les factures. En aquest cas, amb independència del que les parts estipulessin al contracte de lloguer, l'obligada al pagament davant AGISSA era la persona propietària de l'immoble. Al respecte, val a dir que, amb posterioritat, la persona denunciant va canviar la titularitat de la pòlissa en favor d'una tercera persona que va arrendar el seu immoble i, quan aquesta va marxar de l'immoble, va demanar que se li retornés la facturació al seu nom. En aquest segon cas, la persona denunciant també va demanar a AGISSA saber el deute pendent de l'arrendatària atès que la cessió de drets i obligacions de l'esmentada pòlissa només es podia dur a terme si la denunciant assumia els imports no satisfets. Així mateix, també va al·legar que necessitava saber els imports pendents per tal de poder-los reclamar judicialment a la persona arrendatària del seu immoble, per incomplir les clàusules del contracte de lloguer. D'acord amb l'exposat, l'Autoritat va considerar que l'enviament de l'esmentada informació restava emparat per l'article 6.1 f) RGPD atès que es dugué a terme per a la satisfacció dels interessos legítims de la persona denunciant. En concret, per satisfer l'interès legítim de la denunciant d'obtenir les proves necessàries, per reclamar a la persona arrendatària de l'immoble els imports que no va satisfer.

S'amonesta l'Ajuntament per vulnerar el principi de licitud, atès que consta acreditat que va publicar els resultats dels aspirants, -identificats amb nom i cognoms-, que no havien superat les proves psicotècniques i els exercicis realitzats en el marc d'un procés selectiu de promoció interna.

Procedeix l'arxivament dels fets atès que, d'una banda, l'accés a l'HC3 de les persones usuàries del sistema de salut públic català només es pot dur a terme per part de persones que disposin d'un número de col·legiació, excloent per tant el personal auxiliar administratiu. Al respecte, pel que fa l'accés a la història clínica, la normativa sanitària habilita l'accés al personal auxiliar administratiu quan aquest es dugui a terme en l'exercici de les seves funcions. Així mateix, també s'arxiva el fet relatiu a l'ús d'eines de comunicació interna com ara el whatsapp atès que no ha quedat provat que el personal de l'HUVH empri l'esmentada aplicació com a eina de treball. Al fil de l'anterior, tampoc ha quedat provat que el RAT sigui inadequat atès que l'HUVH ha aportat l'esmentat document elaborat per l'ICS, així com un document intitulat "SubRAT" que s'actualitza anualment i que conté els tractaments de dades personals que duu a terme l'hospital. En aquest sentit, l'Autoritat també considera que l'AIPD elaborada, en relació amb el tractament de dades personals vinculat al SAP, recull els extrems previstos a l'article 35 RGPD. En darrer terme, s'arxiva el fet denunciat relatiu a la manca de formació del personal de l'HUVH, en la mesura en què l'entitat ha acreditat oferir cursos en matèria de privacitat regularment al seus treballadors.