Seu Electrònica

No correspon a aquesta Autoritat definir els mitjans a través dels quals es realitzi la identificació dels ciutadans per mitjans electrònics en la tramitació administrativa, ni determinar si un sistema d’identificació pot garantir fefaentment la identitat de la persona sol·licitant. Un sistema d’identificació dels interessats que reculli juntament amb les dades del DNI o document identificatiu de l’interessat la seva imatge i veu, pot tenir com a base jurídica l’exercici de poders públics conferits al responsable del tractament en relació a les funcions d’identificació dels interessats en el procediment previst a la normativa de procediment administratiu. Si s’utilitza mitjans tècnics específics que permetin la identificació o l’autenticació unívoques d’una persona física, comportarà el tractament de dades biomètriques i, per tant, categories especials de dades. Per tal que aquest tractament de dades sigui lícit i adequat a la normativa de protecció de dades ha de comptar amb el consentiment vàlid de l’interessat i adequar-se a la resta de principis de l’RGPD entre els quals el principi de minimització, de manera que ateses les circumstàncies concretes del tràmit o tràmits en els quals es pretengui aplicar, superi el judici de proporcionalitat.

Els tractaments de dades a què es refereix la proposta de protocol examinada s’adeqüen a la normativa de protecció de dades, sens perjudici de les consideracions efectuades en aquest dictamen i les que pugui efectuar, com a autoritat de control competent per als tractaments amb finalitats jurisdiccionals, el CGPJ. Tanmateix, és necessari revisar i modificar el formulari d’obtenció del consentiment de l’annex 1 del protocol en el sentit apuntat en l’apartat IV del dictamen.

S'estima la reclamació perquè el reclamant va sol·licitar l'accés a una determinada informació indicant expressament que fos mitjançant "visualització en pantalla", i el Departament DS li va entregar impressions de pantalla. La normativa vigent (RGPD, LOPDGDD i Real decret 1720/2007) preveuen que l'interessat pugui escollir el mitjà com rebre la informació, i en aquest cas, no es va respectar el canal escollit.

S'estima la reclamació presentada, atès que la resolució de la DGP que ha acordat cancel·lar les dades personals de la persona reclamant incorporades al fitxer SIP, en els termes de la seva sol·licitud, s'ha dictat extemporàniament.

S'estima la reclamació presentada per la persona reclamant i es requereix a la DGP, perquè faci efectiu l'exercici del dret d'accés de la persona reclamant, pel que fa a l'accés a les dades del fitxer SIP PFMEN, i que també faciliti una còpia de totes les dades sol·licitades per la persona reclamant que són objecte de tractament per la DGP en el fitxer SIP PF.

L'entitat va respondre en termini la sol·licitud de supressió d'història clínica formulada per la reclamant. En quant al fons, les raons esgrimides per l'entitat per no procedir a la supressió de la documentació clínica s'ajustarien a allò que prescriu la normativa de protecció de dades i la legislació sanitària.

L’exigència del certificat COVID en els termes exposats i que han estat autoritzats pel Tribunal Superior de Justícia de Catalunya, no es pot considerar contrària a la normativa de protecció de dades personals. Igualment, quan sigui exigible aquest certificat, l’exigència d’exhibició de l’anvers del DNI als efectes de verificar la identitat resulta compatible i proporcionat d’acord amb la normativa de protecció de dades personals.

D’acord amb la normativa de protecció de dades de caràcter personal, no resulta justificat l’accés de la persona reclamant al contingut íntegre dels expedients sol·licitats, atesa la naturalesa de la informació personal dels expedients i les persones afectades. Això, sens perjudici que es pugui facilitar informació anonimitzada o pseudonimitzada que permeti contrastar i verificar els càlculs que s’han fet en cada cas, sense permetre la identificació o reidentificació de les persones afectades.

La comunicació d’informació sobre els formadors per impartir l’acció formativa a empreses i entitats organitzadores, limitada a les dades identificatives, de contacte i de capacitació o experiència, seria lícita i s’ajustaria al principi de minimització de dades, per resultar necessàries tant per a l’execució del contracte com per al compliment d’obligacions legals. A més, les autoritats competents poden requerir la informació vinculada a l’acció formativa necessària per controlar l’execució i l’aplicació de la bonificació per part de les empreses. Amb la informació de la qual es disposa, no sembla però justificada la comunicació d’informació relativa a les dades relatives a l’usuari i contrasenya d’accés a l’aula virtual assignades als alumnes de l’activitat formativa, ni les relatives a la situació professional del personal formador o responsable de l’activitat.

L'Ajuntament no va efectuar una anàlisi de riscos per determinar les mesures de seguretat aplicables per garantir la seguretat de les dades personals vinculades a 12.500 consultes al SIP que es van auditar, als efectes de verificar si s'havien realitzat en l'exercici de les funcions encomanades a dos agents de la Guàrdia Urbana.
S'arxiva allò referent al lliurament d'informes amb dades de terceres persones; a les actuacions realitzades pel cap de la GU mentre estava de baixa; a la comunicació de la incoació dels expedients disciplinaris a la CUP i a les persones afectades pels accessos al SIP; a la comunicació de la incoació dels expedients disciplinaris als representants sindicals; a la petició de l'auditoria d'accessos al SIP per part del cap de la GU; i a l'encriptació del correu a través del qual se sol·licità l'auditoria d'accessos al SIP.