Seu Electrònica

L'entitat denunciada ha informat dels motius accessos a la història clínica de la persona denunciant i es consideren degudament justificats, atès que es van produir amb finalitats assistencials i de prevenció.

El denunciant manifestava que, durant el procés d'alta per obtenir el certificat idCAT, el personal de l’ajuntament li va requerir verbalment la pregunta i la resposta secreta necessàries per gestionar una baixa, així com la clau de seguretat per descarregar el certificat. Davant aquesta situació, la persona afectada va demanar poder introduir les dades directament, mitjançant el teclat, petició que va ser denegada. S'ha constatat que aquest procediment va ser la pràctica habitual de l’ajuntament durant un període prolongat. Es declara la comissió d'una infracció per incompliment de l'article 32 del RGPD, en relació amb l'adopció de mesures tècniques i organitzatives apropiades per garantir la seguretat del tractament.

Les dades clíniques del fill de la denunciant han estat consultades per una infermera del SEM i parella del pare del menor. El mateix SEM informa que l'accés té el consentiment per escrit del pare, però que l'accés no està justificat, perquè no hi ha cap incident mèdic que relacioni la persona que hi va accedir amb el pacient. Se sanciona per infracció de l'article 83.5.a, en relació amb l'article 5.1.f, (principi de confidencialitat), ambdós de l'RGPD. Per aquest accés, el SEM ja va presentar una NVS.

La persona reclamant es queixa que la Direcció General de la Policia del Departament d'Interior de la Generalitat de Catalunya (DGP) no ha atès la seva petició d'accés a dades d'antecedents policials. S'estima parcialment la reclamació presentada, atès que la DGP no va respondre en termini la sol·licitud. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat fer efectiu el dret d'accés.

S'estima parcialment la reclamació, atès que la Direcció General de la Policia no va respondre en termini la sol·licitud de la persona reclamant. Pel que fa al fons, no cal efectuar un pronunciament en relació amb les diligències policials suprimides per la DGP, però es requereix que s'acrediti la notificació de la resolució a la persona reclamant.

Es declara la comissió d'una infracció per vulneració del principi de confidencialitat, arran de l'enviament de diverses cartes amb dades personals de la persona denunciant a un domicili que no li corresponia. Durant la fase d'informació prèvia, l'Institut Municipal d'Hisenda de l'Ajuntament de Barcelona va reconèixer que es va produir una anomalia en el procés de generació de la correspondència, que es va estendre durant més d'una setmana.

Una empresa pública que gestiona el servei de subministrament d'aigües municipal té a internet una oficina virtual d'usuaris del servei en la qual es preveia que, davant d'un oblit de contrasenya, s'enviava a l'usuari un correu electrònic amb el seu NIF i la contrasenya antiga en text pla. D'altra banda, el sistema d'emmagatzematge de les contrasenyes utilitza algoritme de xifratge (i, per tant, és reversible), i el cap que gestiona els sistemes d'informació té accés a les contrasenyes en clar dels usuaris. Això suposa un perill davant possibles atacants del sistema. Se sanciona l'entitat imputada amb una multa de 13.400 euros, com a responsable d'una infracció greu per no haver adoptat les mesures de seguretat necessàries per garantir la confidencialitat de les credencials dels seus usuaris.

Es resol sancionar un ajuntament, en constatar-se que va accedir a les dades tributàries de la persona denunciant sense una base jurídica que ho justifiqués. La consulta es va produir en el context del càlcul de la tarifació social per l'escolarització del fill de la persona amb qui convivia únicament a efectes de compartir les despeses pròpies d'un domicili, sense mantenir-hi cap altre tipus de relació. Tot i haver verificat prèviament que el denunciant no formava part de la unitat familiar, l'ajuntament va consultar-ne la informació fiscal per calcular el preu d'escolarització del fill de la persona amb la qual convivia. A més, va facilitar a la persona sol·licitant de l'escolarització un adjunt que contenia el detall de la renda del denunciant.

El denunciant es queixava del fet que una supervisora de l'hospital on treballa com a infermer havia enviat un missatge de feina al seu correu particular, tot i que havia sol·licitat la supressió del correu particular i s'havia estimat. També es queixava del fet que se li requeria la seva adreça electrònica particular per desbloquejar la contrasenya d'accés al sistema d'informació. La denúncia s'arxiva per considerar que l'error que va cometre la supervisora va venir condicionat pel fet que, després de demanar-ne la supressió, el denunciant va enviar un correu laboral a la supervisora des del seu correu particular. Això va provocar que l'adreça s’emmagatzemés a la memòria cau de l'aplicació de correu. També, per considerar que a la sol·licitud de supressió no s'havia referit a l'aplicació de correu, i que l'emmagatzematge estaria emparat per l'interès legítim que l'hospital té per a la consecució del treball. També s'arxiva el fet denunciat referit a l'ús del correu privat per desbloquejar la contrasenya, per considerar que se'n fa un ús proporcionat i que també hi concorre l'interès legítim de l'hospital. No hi ha constància que, després de l'estimació de la supressió, l'hospital hagi tractat el correu particular del denunciant per desbloquejar la seva contrasenya.

El denunciant es queixava que, per recuperar la contrasenya del seu compte de correu electrònic, l'entitat n’hi facilitava una de nova, via telefònica, sense necessitat d'haver-se d'identificar. Tanmateix, aquests fets no s'han acreditat, per la qual cosa s'arxiven les actuacions. Altrament, l'entitat ha posat de manifest que, en el moment de la denúncia, utilitzava un sistema de recuperació de contrasenya diferent del que utilitza en l'actualitat i ha detallat el funcionament de cadascun d'ells. Es considera que tant el sistema anterior com l'actual són conformes als requisits de seguretat bàsics i no comporten un risc significatiu per a la privadesa de les persones usuàries del seu servei de correu electrònic.