Seu Electrònica

Enviament d'un correu electrònic a les persones treballadores, en el qual s'identificaven les parts interessades en un expedient de diligències d'informació iniciat pel responsable del tractament. No hi ha cap raó que justifiqui aquesta comunicació de dades personals a les persones que no eren part interessada en l'expedient esmentat.

Títol: infracció del principi de confidencialitat per 9 accessos indeguts a la història clínica.
Resum: la denunciant es queixava de 9 accessos indeguts a la seva història clínica que no estaven relacionats amb cap actuació assistencial o de diagnòstic, ja que mai havia estat atesa en el centre ni per la facultativa que havia efectuat els accessos controvertits. La denunciant també es queixava que, en el marc d'una reunió d'una associació veïnal, la facultativa havia difós algunes dades de salut de la denunciant. Aquesta suposada divulgació de dades es va arxivar a l'acord d'iniciació, ja que no es van acreditar els fets. Pel que fa als 9 accessos indeguts acreditats, es sanciona l'entitat per la vulneració del principi de confidencialitat amb una multa de 30.000 €, com a responsable d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.f, ambdós de l'RGPD. L'entitat ha pagat la sanció de forma anticipada (24.000 €).

Es declara que el Consorci de Benestar Social del Ripollès ha comès la infracció tipificada a l'article 83.5.a, en relació amb l'article 5.1.c, per haver publicat al seu web l'acta del desembre del 2020 de la Junta del CSBR en la qual hi constava la relació de noms, cognoms i DNI complet de les persones a les quals es va subrogar el contracte de treball i van passar a prestar serveis a l'empresa SUMAR

S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.

La persona denunciant exposava que s'havia manipulat la seva història clínica. Concretament, assenyalava que el diagnòstic de les lesions que va patir en un accident no era correcte i que les imatges que hi constaven eren borroses i estaven tallades. Durant la tramitació de la reclamació, l'hospital va acreditar que la informació de la història clínica de la persona reclamant era correcta, que no hi havia hagut cap modificació posterior a la data de l'accident i que les imatges no eren borroses ni estaven tallades. S'arxiva el procediment, atès que no es pot atribuir a l'hospital cap fet punible des del punt de vista de la protecció de dades ni cap la responsabilitat pels fets denunciats i no acreditats.

S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.

Un treballador de l'empresa RENFE Viajeros va publicar la sol·licitud d'alta de la T-Mobilitat d'una tercera persona, a l'àrea privada del denunciant del web de l'ATM. Aquest fet va propiciar que el denunciant pogués accedir a dades personals d'un tercer, fet que va vulnerar el principi de confidencialitat. Així mateix, també es constata que, en el moment dels fets, l'ATM i Renfe no disposaven d'un contracte d'encarregat del tractament. Per l'exposat, es resol declarar que l'ATM ha vulnerat el principi de confidencialitat atès que com a responsable del tractament no va vetllar per la protecció de les dades; i l'article 28 RGPD, atès que no disposava d'un contracte d'encarregat del tractament amb l'empresa que publicava les sol·licituds d'alta a la T-Mobilitat