Seu Electrònica

La persona denunciant manifestava que, durant el procediment d'alta en un gimnàs de titularitat municipal, el personal va repetir en veu alta les seves dades personals davant d'altres usuaris. També, que una altra treballadora va fotografiar la pantalla de l'ordinador on constaven aquestes dades. S'arxiven les actuacions, en no haver-se pogut acreditar els fets denunciats i constatar-se que el gimnàs disposa d'un protocol establert per gestionar les altes, que no preveu cap de les pràctiques descrites.

Es declara la comissió d'una infracció per part del Departament d'Agricultura, Ramaderia, Pesca i Alimentació, per vulneració del principi de confidencialitat. En resposta a una sol·licitud d'accés a la informació pública, es va facilitar documentació relativa a autoritzacions administratives i actes d'inspecció, sense anonimitzar totes les dades personals contingudes. Concretament, van quedar exposades dades com els noms, cognoms i números de DNI de treballadors i càrrecs de l'entitat imputada.

Una empresa pública que gestiona el servei de subministrament d'aigües municipal té a internet una oficina virtual d'usuaris del servei en la qual es preveia que, davant d'un oblit de contrasenya, s'enviava a l'usuari un correu electrònic amb el seu NIF i la contrasenya antiga en text pla. D'altra banda, el sistema d'emmagatzematge de les contrasenyes utilitza algoritme de xifratge (i, per tant, és reversible), i el cap que gestiona els sistemes d'informació té accés a les contrasenyes en clar dels usuaris. Això suposa un perill davant possibles atacants del sistema. Se sanciona l'entitat imputada amb una multa de 13.400 euros, com a responsable d'una infracció greu per no haver adoptat les mesures de seguretat necessàries per garantir la confidencialitat de les credencials dels seus usuaris.

L'entitat denunciada va vulnerar el principi d'exactitud, recollit a l'article 5 de l'RGPD, quan va comunicar les dades personals (nom i cognoms, número de DNI i adreça postal) de la persona física a qui atribuïa l'autoria d'una infracció de trànsit comesa amb un vehicle que pertanyia a l'entitat, atès que, en el moment de la comissió de la infracció aquesta persona no era qui conduïa el vehicle, ni prestava els seus serveis a l'entitat.

Es resol sancionar un ajuntament, en constatar-se que va accedir a les dades tributàries de la persona denunciant sense una base jurídica que ho justifiqués. La consulta es va produir en el context del càlcul de la tarifació social per l'escolarització del fill de la persona amb qui convivia únicament a efectes de compartir les despeses pròpies d'un domicili, sense mantenir-hi cap altre tipus de relació. Tot i haver verificat prèviament que el denunciant no formava part de la unitat familiar, l'ajuntament va consultar-ne la informació fiscal per calcular el preu d'escolarització del fill de la persona amb la qual convivia. A més, va facilitar a la persona sol·licitant de l'escolarització un adjunt que contenia el detall de la renda del denunciant.

El denunciant es queixava del fet que una supervisora de l'hospital on treballa com a infermer havia enviat un missatge de feina al seu correu particular, tot i que havia sol·licitat la supressió del correu particular i s'havia estimat. També es queixava del fet que se li requeria la seva adreça electrònica particular per desbloquejar la contrasenya d'accés al sistema d'informació. La denúncia s'arxiva per considerar que l'error que va cometre la supervisora va venir condicionat pel fet que, després de demanar-ne la supressió, el denunciant va enviar un correu laboral a la supervisora des del seu correu particular. Això va provocar que l'adreça s’emmagatzemés a la memòria cau de l'aplicació de correu. També, per considerar que a la sol·licitud de supressió no s'havia referit a l'aplicació de correu, i que l'emmagatzematge estaria emparat per l'interès legítim que l'hospital té per a la consecució del treball. També s'arxiva el fet denunciat referit a l'ús del correu privat per desbloquejar la contrasenya, per considerar que se'n fa un ús proporcionat i que també hi concorre l'interès legítim de l'hospital. No hi ha constància que, després de l'estimació de la supressió, l'hospital hagi tractat el correu particular del denunciant per desbloquejar la seva contrasenya.

El denunciant es queixa que un company del centre docent on treballa va difondre fotografies de la seva declaració de renda en un grup de WhatsApp format per docents. Es resol arxivar les actuacions, atès que no ha estat possible atribuir al centre educatiu la responsabilitat per la difusió, de forma no autoritzada, de les imatges. En aplicació del principi de presumpció d'innocència, escau arxivar la denúncia per manca de prova.

El denunciant es queixava que, per recuperar la contrasenya del seu compte de correu electrònic, l'entitat n’hi facilitava una de nova, via telefònica, sense necessitat d'haver-se d'identificar. Tanmateix, aquests fets no s'han acreditat, per la qual cosa s'arxiven les actuacions. Altrament, l'entitat ha posat de manifest que, en el moment de la denúncia, utilitzava un sistema de recuperació de contrasenya diferent del que utilitza en l'actualitat i ha detallat el funcionament de cadascun d'ells. Es considera que tant el sistema anterior com l'actual són conformes als requisits de seguretat bàsics i no comporten un risc significatiu per a la privadesa de les persones usuàries del seu servei de correu electrònic.

El denunciant es queixa que el delegat de protecció de dades de l'Ajuntament ha fet arribar al cap de la policia local un escrit que va presentar per sol·licitar que s'atengués el seu dret d'oposició. Es resol arxivar les actuacions d'informació prèvia, atès que s'ha constatat que la comunicació de dades per part del DPD al cap de la policia local era lícita, ja que era necessària per respondre l'interessat. Per tant, es conclou que no s'ha produït cap acte que pugui ser constitutiu d'alguna de les infraccions previstes a la legislació sobre protecció de dades.