Seu Electrònica

L'entitat no ha comunicat a l'Autoritat Catalana de Protecció de Dades la designació d'un delegat/ada de protecció de dades que, d'acord amb l'article 37.1 de l'RGPD, és de designació obligatòria per l'entitat.

S'imputa el principi de licitud. El trasllat de la resolució va suposar comunicar la identitat de les persones pressuptament assetjadora i assetjada; i, a més, algunes dades de salut de la persona assetjada al president del sindicat. Es vulnera l'article 5.1.a) i 6.1 RGPD, al no existir cap base jurídica legitimadora. A més, pel que fa a la comunicació de dades de salut, també es vulnera l'article 9.2 RGPD.

Un Ajuntament va publicar en diversos diaris oficials i al web municipal, un anunci de notificació d'un decret d'alcaldia a una pluralitat de persones, que contenia un llistat de 381 immobles que inicialment l'Ajuntament considerava desocupats permanentment, i que identificava amb la referència cadastral i l'adreça exacta de cada immoble, junt amb el número complet del DNI de les persones subjectes passius de l'IBI corresponent en cada cas. Es sanciona a l'Ajuntament amb amonestació, com a responsable de la infracció molt greu per vulneració del principi de licitud, per haver efectuat la publicació sense la concurrència de cap base jurídica. La publicació de l'adreça dels immobles junt amb la resta de dades publicades (ref. cadastral i núm. DNI) es considera excessiva per a la finalitat prevista (notificació de l'acte), però la infracció corresponent a aquest fet, referida a la vulneració del principi de minimització, queda subsumida en la infracció per vulneració del principi de licitud.

L' Ajuntament va enviar un correu electrònic a tots els treballadors municipals informant d'un enllaç que els permetia accedir al contingut de tots els recursos de reposició que s'havien presentat contra l'Acord d'aprovació de la RLT, sense la prèvia anonimització de les dades personals allà contingudes. En relació amb aquests fets, l'Ajuntament no va notificar la violació de seguretat a l'Apdcat.

Es resol amonestar l'Ajuntament atès que durant un temps indeterminat que, com a mínim, comprèn els mesos de novembre de 2020 fins gener de 2021, no disposava d'un anàlisi de riscos de les dades personals que tractava, ni havia implementat totes les mesures de seguretat i tècniques, de conformitat amb l'Esquema Nacional de Seguretat, tal com exigeix l'article 32 RGPD, en relació amb la gravació de trucades telefòniques mantingudes per la policia local. D'altra banda, la difusió per part d'un agent de la Policia Local a altres agents del cos, del contingut d'una conversa telefònica que va mantenir la persona denunciant amb una treballadora del Servei d'Emergències Mèdiques, va contravenir el principi de confidencialitat.

S'arxiva la denúncia, atès que les úniques dades personals que contenia el document que va publicar el regidor del govern municipal a través del mur de Facebook sobre temes veïnals, era el nom i cognoms del denunciant com a representant d'una entitat del municipi. Una informació que els veïns del poble, usuaris de dita xarxa social, ja coneixien. A més, aquesta mateixa informació era accessible a través d'internet, on consta publicat que la persona denunciant és el president de dita entitat.

Des de la perspectiva de la normativa de protecció de dades, lliurar la informació relativa als casos atesos a les unitats de trànsit, agregats per sexe i edat “any a any, i no per rangs d’edat”, ofereix garanties suficients per poder-se considerar una anonimització eficaç de les dades de salut de les persones afectades.

La normativa de protecció de dades personals habilitaria, amb la finalitat de gestió tributària, la comunicació de dades amb transcendència tributària a l’Administració tributària a través d’un procediment per sol·licitar la informació, en cada cas concret, quan faci referència a una persona o conjunt de persones concretes, com ara la creació d’una bústia de correu específica on adreçar les sol·licituds. En canvi, a manca d’una disposició general que ho estableixi, la normativa no habilitaria el subministrament periòdic d’informació. En els casos en què la normativa de protecció habilita la comunicació de dades, no cal informar a les persones afectades per la comunicació a l’Administració tributària, d’acord amb el que s’exposa. Quant a la comunicació amb finalitat de millorar les prediccions i estudis de mercat anuals, i de complementar el sistema d’informació sobre el mercat, caldrà estar a les previsions de la disposició addicional del Codi tributari de Catalunya.

L'agent de la policia local amb TIP (...) va remetre documentació al departament de recursos humans de l'Ajuntament, entre la qual hi figurava un escrit on es feia referència a la salut i els motius de la baixa mèdica (depressió o ansietat) de la persona denunciant. L'agent va manifestar al dit escrit haver tingut accés a informació confidencial perquè era responsable administratiu de rebre les baixes, i perquè la persona denunciant va enviar per error la part personal del document mèdic i no la corresponent a l'empresa. Vulneració del principi de confidencialitat art. 5.1.f) RGPD (infracció molt greu a l'article 72.1.i) de l'LOPDGDD).

S'imputa vulneració del principi de licitud per manca de base jurídica de l'article 6.1 RGPD. L'Institut va enviar un comunicat amb document adjunt, a tots els progenitors, informant sobre les assignatures optatives que cursaran els alumnes, identificats amb el número de DNI, i amb la finalitat que comprin el material escolar. El número de DNI és dada personal, tot i ser tractada aïlladament.