Seu Electrònica

L'Ajuntament encarregava que les notificacions en paper s'entreguessin en sobre obert, i donant a l'agent notificador accés directe d'una còpia del document a notificar al destinatari.

L'Ajuntament va encarregar a una empresa la realització d'un reconeixement mèdic a una persona que sol·licitava permutar una plaça. Aquest encàrrec no es va formalitzar en un contracte tal com exigeix l'art. 28 RGPD.

El responsable ha d'implementar les mesures tècniques i organitzatives necessàries per evitar un accés no autoritzat.

L'encarregat del tractament que presta al responsable els serveis de desenvolupament i millores del web, hosting i suport, ha d'adoptar les mesures necessàries per garantir la seguretat de les dades, i en particular, que per evitar que terceres persones no autoritzades puguin accedir a les dades personals.

L'Ajuntament és responsable d'una infracció prevista a l'art. 83.5.a) RGPD en relació amb l'art. 5.1.c) RGPD, per vulneració del principi de minimització de les dades, pel fet que la seva Policia Local va lliurar un informe d'intervencions diàries a una persona que havia participat en un incident en una sucursal bancària d'on era client, que contenia informació sobre el domicili particular del sotsinspector de la sucursal (a banda de les dades identificatives per haver participat en l'incident), sense el seu consentiment.

S'estima la reclamació per motius formals, atès que la DGP no va donar resposta dins el termini legalment establert. No és necessari pronunciar-se sobre el fons, atès que, de manera extemporània i un cop presentada la reclamació, la DGP va estimar la sol·licitud de cancel·lació de les dades relatives a la persona reclamant.

S'estima per raons d'extemporaneïtat, atès que la DGP ha superat amb escreix el termini de resolució i notificació previst a la normativa aplicable. Quan al fons, es desestima, perquè cal mantenir les dades per qüestions de seguretat ciutadana i per necessitats de les investigacions que s'estiguin duent a terme.

La normativa de protecció de dades no impedeix l’accés de la persona reclamant a l’expedient de l’organisme reclamat com a conseqüència d’una denúncia seva, incloent les seves pròpies dades personals i la identitat de les persones que haurien intervingut com a testimonis o que hagin intervingut en exercici de les seves funcions en la tramitació de l’expedient, llevat que respecte d’aquestes terceres persones concorrin circumstàncies concretes que en justifiquin la limitació. Caldria limitar l’accés a altra informació de terceres persones que pugui constar a l’expedient sol·licitat, com els contractes de treball, rebuts de salaris, horaris i torns, aportats per l’empresa, així com altres dades identificatives de les persones que hagin prestat declaració davant l’organisme reclamat (DNI, domicili, etc.), la informació sobre terceres persones que aquests hagin revelat en les seves declaracions i la documentació que hagin aportat que no tingui una relació directa amb l’objecte de l’expedient.

Un examen acurat sobre la viabilitat dels accessos previstos al padró de residus per cadascuna de les empreses implicades en el model de recollida selectiva requeriria disposar d’informació detallada sobre cadascuna de les funcions que tenen encomanades com a conseqüència de l’encàrrec efectuat en cada cas per l’Ajuntament. L’elaboració de perfils de comportament amb les dades d’aquest padró que doni lloc a la presa de decisions automatitzades que produeixin efectes jurídics en la persona usuària del servei o que l’afectin significativament de manera similar s’ha d’ajustar a l’article 22 RGPD.

El formulari emprat per recollir el consentiment no compleix amb els requisits del principi de transparència de la informació (art.12 RGPD). D'altra banda, l'ús d'un sistema de reconeixement dactilar per controlar l'assistència de l'alumnat al menjador escolar, vulnera els principis de licitud i de minimització, i no es fonamenta en una de les excepcions previstes a l'article 9.2 RGPD.