Seu Electrònica

Es resol declarar que el Departament d'Educació i Formació Professional va vulnerar l'article 5.1.f RGPD, referent a la seguretat i confidencialitat de la informació, atès que, a través de l'aplicatiu 'Esfera', un professor podia accedir al nom, cognoms i número de DNI complet de la resta de professors del centre. L'esmentat programa es posa a disposició del professorat per introduir les notes dels alumnes sense que, en aquest cas, estigués justificat l'accés a dades personals d'altres companys de feina.

Dins un procediment de liquidació de preus públics, l'ajuntament va consultar les dades fiscals sense el consentiment de la persona denunciant, atès que considerava que formava part de la unitat familiar d'una tercera persona. Es resol sancionar l'ajuntament ates que no disposava d'una base de licitud que ho justifiqués.

Es resol sancionar l'Ajuntament d'Arbúcies per la comissió de 5 infraccions : 1.- L'Ajuntament no disposa de l'autorització emesa per la DGAS del Departament d'Interior; 2.- El dret d'informació en relació al sistema de videovigilància es fa efectiu de manera incompleta; 3.- L'Ajuntament no disposa de Registre d'Activitats de Tractament 4.- L'Ajuntament no ha comunicat la designació del seu Delegat de Protecció de Dades 5.- Vulneració del principi de transparència atès que la informació que apareix a la seva Web relativa al tractament de dades personals és confusa i es troba dispersa.

En el marc de l'assistència sanitària pública, l'hospital d'una fundació privada va proporcionar a 252 pacients uns dispositius per al seguiment i control dels nivells de glucosa, que comportaven la recollida de dades per part del laboratori privat que proporcionava els dispositius i l'aplicació de suport. El laboratori va recollir nombroses dades per a finalitats assistencials, comercials i de promoció i millora dels seus productes, així com d'investigació i estadístiques, sense informar-ne prèviament els pacients. A més, en el full de consentiment informat, es va supeditar l'accés al servei públic a l'acceptació del tractament de dades per a finalitats comercials. I en el contracte d'encarregat subscrit amb la fundació només s'assenyalava que el laboratori es limitaria a recollir les dades necessàries per a enviar els dispositius als usuaris. D'altra banda, el denunciant va sol·licitar l'accés a informació sobre les finalitats dels tractaments duts a terme pel laboratori privat, però la fundació es va limitar a reenviar la seva sol·licitud al laboratori, el qual no va donar-hi resposta satisfactòria. L'Autoritat va imposar una multa a la fundació per la comissió de 4 infraccions: 1) Infracció molt greu per vulneració del principi de lleialtat i transparència, i infracció molt greu per proporcionar informació parcial i errònia. 2) Infracció molt greu per manca de licitud o tractament il·legítim. 3) Infracció greu per manca de contracte d'encarregat. 4) infracció molt greu per manca d'atenció al dret d'accés.

Es resol declarar que l'Ajuntament de Sant Climent de Llobregat va infringir el principi de minimització (art. 5.1.c RGPD), quan va publicar a internet una acta del ple municipal de data 26/05/2022, que identificava les persones assistents a la sessió plenària i diverses persones afectades per expedients i procediments municipals.

El denunciant va exposar que havia detectat accessos indeguts a la seva història clínica, sense la seva autorització. Tot i que l'ICS va al·legar que hi havia consentiment verbal, això no s'ha pogut demostrar ni se n'ha aportat cap prova. De conformitat amb el principi de responsabilitat proactiva (art. 5.2 RGPD) i l'article 7.1 de l’RGPD, correspon al responsable del tractament acreditar que s’ha atorgat el consentiment. Per això, es declara la vulneració del principi de confidencialitat, ja que l'accés es va produir sense consentiment i per part d'un professional que no mantenia cap relació assistencial amb el denunciant.

Es resol declarar que el SOC va vulnerar el principi de minimització (art. 5.1.c RGPD), atès que va publicar al seu web un llistat de les persones proposades per ser nomenades en el marc d'un procés de selecció. Aquesta publicació es va efectuar identificant amb nom, cognoms i 4 xifres del DNI les persones hi participaven pel torn de reserva. Així mateix, s'assenyala que la identificació per mitjà d'un codi hagués estat una actuació més respectuosa amb el dret a la protecció de dades.

S'incoa un procediment sancionador pel fet que la Delegació del Govern de la Generalitat a Andorra va enviar un correu electrònic massiu a més de 100 persones, sense utilitzar la còpia oculta. Això va permetre als destinataris conèixer les adreces electròniques de la resta i, en alguns casos, els seus noms i cognoms. Produïda aquesta incidència, va notificar la violació de seguretat a l'Agència Andorrana de Protecció de Dades. Aquesta actuació, tot i no ser contrària a dret, no és del tot correcta, ja que s’hauria d’haver notificat a l'Autoritat Catalana de Protecció de Dades (APDCAT), com a autoritat de control competent. Per tot això, es declara la comissió d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.f (principi de confidencialitat); una altra infracció prevista a l'article 83.4.a en relació amb l'article 33.1 (manca de la notificació de violació de seguretat), tots ells de l'RGPD.

La persona denunciant manifestava que el centre escolar on estava matriculada la seva filla havia canviat l'empresa gestora del menjador, la qual requeria la inscripció de l'infant i un progenitor en una aplicació que, segons ella, no permetia rebutjar el tractament de les dades. No obstant això, durant la fase d'informació prèvia s'ha comprovat que el registre a l'aplicació, així com la prestació del servei, es fonamenta en l'execució d'un contracte entre la persona usuària i l'empresa (art. 6.1.b RGPD) i que la política de privacitat de l'empresa compleix amb el deure d'informació (art. 13 RGPD). També s'ha verificat que es pot rebutjar el tractament de dades per a finalitats comercials i que s'especifiquen terminis de conservació. Per tot això, es resol arxivar les actuacions, en no constatar-se cap vulneració de la normativa de protecció de dades.

Es declara que l'Escola Llibertat de Badalona ha comès una infracció prevista a l'article 83.5.a, en relació amb l'article 5.1.a, ambdós de l'RGPD, atès que va publicar a la seva web una fotografia d'un grup de nens on apareixia un menor del qual no tenien el consentiment per publicar imatges a internet. L'escola reconeix que va ser un error, ja que consideraven que el menor no era identificable i la seva imatge era secundària i incidental.