Seu Electrònica

Es resol sancionar un ajuntament, en constatar-se que va accedir a les dades tributàries de la persona denunciant sense una base jurídica que ho justifiqués. La consulta es va produir en el context del càlcul de la tarifació social per l'escolarització del fill de la persona amb qui convivia únicament a efectes de compartir les despeses pròpies d'un domicili, sense mantenir-hi cap altre tipus de relació. Tot i haver verificat prèviament que el denunciant no formava part de la unitat familiar, l'ajuntament va consultar-ne la informació fiscal per calcular el preu d'escolarització del fill de la persona amb la qual convivia. A més, va facilitar a la persona sol·licitant de l'escolarització un adjunt que contenia el detall de la renda del denunciant.

El denunciant es queixava que, per recuperar la contrasenya del seu compte de correu electrònic, l'entitat n’hi facilitava una de nova, via telefònica, sense necessitat d'haver-se d'identificar. Tanmateix, aquests fets no s'han acreditat, per la qual cosa s'arxiven les actuacions. Altrament, l'entitat ha posat de manifest que, en el moment de la denúncia, utilitzava un sistema de recuperació de contrasenya diferent del que utilitza en l'actualitat i ha detallat el funcionament de cadascun d'ells. Es considera que tant el sistema anterior com l'actual són conformes als requisits de seguretat bàsics i no comporten un risc significatiu per a la privadesa de les persones usuàries del seu servei de correu electrònic.

El denunciant es queixa que el delegat de protecció de dades de l'Ajuntament ha fet arribar al cap de la policia local un escrit que va presentar per sol·licitar que s'atengués el seu dret d'oposició. Es resol arxivar les actuacions d'informació prèvia, atès que s'ha constatat que la comunicació de dades per part del DPD al cap de la policia local era lícita, ja que era necessària per respondre l'interessat. Per tant, es conclou que no s'ha produït cap acte que pugui ser constitutiu d'alguna de les infraccions previstes a la legislació sobre protecció de dades.

El denunciant es queixava del fet que una supervisora de l'hospital on treballa com a infermer havia enviat un missatge de feina al seu correu particular, tot i que havia sol·licitat la supressió del correu particular i s'havia estimat. També es queixava del fet que se li requeria la seva adreça electrònica particular per desbloquejar la contrasenya d'accés al sistema d'informació. La denúncia s'arxiva per considerar que l'error que va cometre la supervisora va venir condicionat pel fet que, després de demanar-ne la supressió, el denunciant va enviar un correu laboral a la supervisora des del seu correu particular. Això va provocar que l'adreça s’emmagatzemés a la memòria cau de l'aplicació de correu. També, per considerar que a la sol·licitud de supressió no s'havia referit a l'aplicació de correu, i que l'emmagatzematge estaria emparat per l'interès legítim que l'hospital té per a la consecució del treball. També s'arxiva el fet denunciat referit a l'ús del correu privat per desbloquejar la contrasenya, per considerar que se'n fa un ús proporcionat i que també hi concorre l'interès legítim de l'hospital. No hi ha constància que, després de l'estimació de la supressió, l'hospital hagi tractat el correu particular del denunciant per desbloquejar la seva contrasenya.

Es resol sancionar l'empresa Clece Seguridad SAU atès que, com a encarregada del tractament de dades per compte del Departament de Justícia, Drets i Memòria, no va adoptar les mesures tècniques i organitzatives necessàries per preservar la seguretat de la informació. A més, quan va ser víctima d'un robatori a l'interior d'una de les seves furgonetes, no va notificar la violació de seguretat l'Autoritat.

La normativa de protecció de dades no impediria l’accés de la persona reclamant a la còpia dels nomenaments d’encàrrecs de funcions del Personal d’Administració i Serveis Funcionari de la universitat reclamada.

La persona reclamant exerceix el dret a conèixer la identitat dels professionals que van accedir a la seva història clínica. Vist el resultat del test de sospesament i d'acord amb l'article 15 de l'RGPD, en connexió amb l'article 6.1.f de l'RGPD, amb la disposició addicional desena de l'LOPDGDD i amb la normativa sanitària esmentada en aquesta resolució, s’estima la reclamació.

Es resol declarar que l'entitat denunciada va infringir l'art. 5.1.f de l'RGPD, atès que no va vetllar per preservar la confidencialitat de les dades d'un dels seus treballadors. Aquest fet es va constatar, atès que un mitjà de comunicació digital va difondre el resultat d'una informació reservada instada contra un treballador, que només estava en poder del responsable del tractament.

Es declara que, en el marc de la prestació del servei de recollida de residus, l’ajuntament va recollir informació excessiva referent a les persones usuàries que convivien amb infants i necessitaven bolquers. Així mateix, també va tractar il·lícitament categories especials de dades personals, atès que les persones usuàries del servei que no participaven en la recollida de residu, havien de comunicar i acreditar el motiu. D'entre aquests motius: hospitalització llarga, malaltia, convivència amb una persona dependent, etc. Aquestes actuacions són contràries al principi de minimització i de licitud.

S'estima parcialment la reclamació, atès que la Direcció General de la Policia no va respondre en termini la sol·licitud de la persona reclamant. Pel que fa al fons, no cal efectuar un pronunciament en relació amb les diligències policials suprimides per la DGP.