Seu Electrònica

En la mesura que el sistema de videovigilància tingui com a finalitat exclusiva garantir la seguretat de les instal·lacions municipals de control d’accés als camins de titularitat municipal, es podria considerar que existeix una base jurídica suficient per al tractament, sempre que la captació de les imatges es limiti estrictament a la zona de la instal·lació municipal i la captació de la via pública sigui únicament l’imprescindible per a controlar aquesta zona i s’implementin mesures suficients per a minimitzar la captació incidental. Correspon al responsable del tractament acreditar l’existència de la base jurídica esmentada, així com garantir el compliment de la resta de principis establerts en la normativa de protecció de dades. A aquest efecte, i atenent les característiques del tractament previst, es considera preceptiva la realització d’una Avaluació d’Impacte relativa a la Protecció de Dades, de conformitat amb l’article 35 de l’RPG.

S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.

Es resol declarar que el Departament d'Educació i Formació Professional va vulnerar l'article 5.1.f RGPD, referent a la seguretat i confidencialitat de la informació, atès que, a través de l'aplicatiu 'Esfera', un professor podia accedir al nom, cognoms i número de DNI complet de la resta de professors del centre. L'esmentat programa es posa a disposició del professorat per introduir les notes dels alumnes sense que, en aquest cas, estigués justificat l'accés a dades personals d'altres companys de feina.

En el marc de l'assistència sanitària pública, l'hospital d'una fundació privada va proporcionar a 252 pacients uns dispositius per al seguiment i control dels nivells de glucosa, que comportaven la recollida de dades per part del laboratori privat que proporcionava els dispositius i l'aplicació de suport. El laboratori va recollir nombroses dades per a finalitats assistencials, comercials i de promoció i millora dels seus productes, així com d'investigació i estadístiques, sense informar-ne prèviament els pacients. A més, en el full de consentiment informat, es va supeditar l'accés al servei públic a l'acceptació del tractament de dades per a finalitats comercials. I en el contracte d'encarregat subscrit amb la fundació només s'assenyalava que el laboratori es limitaria a recollir les dades necessàries per a enviar els dispositius als usuaris. D'altra banda, el denunciant va sol·licitar l'accés a informació sobre les finalitats dels tractaments duts a terme pel laboratori privat, però la fundació es va limitar a reenviar la seva sol·licitud al laboratori, el qual no va donar-hi resposta satisfactòria. L'Autoritat va imposar una multa a la fundació per la comissió de 4 infraccions: 1) Infracció molt greu per vulneració del principi de lleialtat i transparència, i infracció molt greu per proporcionar informació parcial i errònia. 2) Infracció molt greu per manca de licitud o tractament il·legítim. 3) Infracció greu per manca de contracte d'encarregat. 4) infracció molt greu per manca d'atenció al dret d'accés.

Es resol declarar que l'Ajuntament de Sant Climent de Llobregat va infringir el principi de minimització (art. 5.1.c RGPD), quan va publicar a internet una acta del ple municipal de data 26/05/2022, que identificava les persones assistents a la sessió plenària i diverses persones afectades per expedients i procediments municipals.

Es resol declarar que el SOC va vulnerar el principi de minimització (art. 5.1.c RGPD), atès que va publicar al seu web un llistat de les persones proposades per ser nomenades en el marc d'un procés de selecció. Aquesta publicació es va efectuar identificant amb nom, cognoms i 4 xifres del DNI les persones hi participaven pel torn de reserva. Així mateix, s'assenyala que la identificació per mitjà d'un codi hagués estat una actuació més respectuosa amb el dret a la protecció de dades.

La persona denunciant manifestava que el centre escolar on estava matriculada la seva filla havia canviat l'empresa gestora del menjador, la qual requeria la inscripció de l'infant i un progenitor en una aplicació que, segons ella, no permetia rebutjar el tractament de les dades. No obstant això, durant la fase d'informació prèvia s'ha comprovat que el registre a l'aplicació, així com la prestació del servei, es fonamenta en l'execució d'un contracte entre la persona usuària i l'empresa (art. 6.1.b RGPD) i que la política de privacitat de l'empresa compleix amb el deure d'informació (art. 13 RGPD). També s'ha verificat que es pot rebutjar el tractament de dades per a finalitats comercials i que s'especifiquen terminis de conservació. Per tot això, es resol arxivar les actuacions, en no constatar-se cap vulneració de la normativa de protecció de dades.

El denunciant va exposar que havia detectat accessos indeguts a la seva història clínica, sense la seva autorització. Tot i que l'ICS va al·legar que hi havia consentiment verbal, això no s'ha pogut demostrar ni se n'ha aportat cap prova. De conformitat amb el principi de responsabilitat proactiva (art. 5.2 RGPD) i l'article 7.1 de l’RGPD, correspon al responsable del tractament acreditar que s’ha atorgat el consentiment. Per això, es declara la vulneració del principi de confidencialitat, ja que l'accés es va produir sense consentiment i per part d'un professional que no mantenia cap relació assistencial amb el denunciant.