Blog

LOGRAMOS LA PARALIZACIÓN DE LA IMPLANTACIÓN DE UNA PLATAFORMA PARA LA GESTIÓN DE LOS CENTROS SOCIALES DESARROLLADA POR LA JUNTA DE ANDALUCÍA QUE INCUMPLÍA LA NORMATIVA DE PROTECCIÓN DE DATOS

Con fecha en 2 de julio de 2021, LARES ANDALUCÍA con el asesoramiento de TECNODERECHO ASESORES, interpuso una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía, contra la Consejería de Igualdad, Políticas Sociales y Conciliación, por la implantación de una plataforma que obligaba a los centros que prestan servicios sociales (residencias, etc.) a facilitar a través de la misma una gran cantidad de información y de datos de carácter personal a la Administración que infringía la normativa de protección de datos.

En concreto, esta plataforma tenía como finalidad gestionar los Centros Sociales, y el alojamiento y procesamiento de los datos recopilados de los Centros de Gestión de Servicios Sociales de la Comunidad Autónoma de Andalucía. Así como atribuir, coordinar y supervisar las potestades relacionadas con los servicios sociales con las entidades de titularidad pública o privada competentes y el seguimiento de las relaciones negociales y contractuales.

Sin embargo, en la citada plataforma se obligaba a los centros a facilitar más datos de los necesarios (algunos de ellos especialmente sensibles) y no ajustados a las finalidades para las que se creó dicha plataforma. A su vez, la Consejería pretendía implantar la citada plataforma sin los preceptivos trámites y/o controles previstos en el Reglamento General de Protección de datos y la Ley Orgánica de Protección de datos.

Lo anterior ha supuesto que una vez resuelto el procedimiento sancionador por parte del Consejo de Transparencia y Protección de datos de Andalucía se haya dictado una resolución condenando a la Consejería con apercibimiento por la comisión de los siguientes hechos infractores:

1.- Requerir más datos de los necesarios.

2.- El órgano andaluz no había realizado la preceptiva Evaluación de Impacto previa a la creación y puesta en funcionamiento de la plataforma.

Con respecto al primero de los hechos infractores, en la plataforma se solicitaban a los Centros la cumplimentación de una gran cantidad de datos que no se ajustaban a la finalidad para la que había sido constituida dicha plataforma y, por lo tanto, la información requerida resultaba completamente desproporcionada y contraria al principio de minimización. Es decir, se recababan más datos de los necesarios.

Estos ejemplos muestran algunos de los datos inicialmente solicitados por la plataforma:

EN RELACIÓN AL PERSONAL Y A LOS TRABAJADORES DE LOS CENTROS:
Nombre y Apellidos, DNI, email, dirección postal, Sexo, Categoría, tipo de personal, Móvil, Jornada y N.º Horas, resultados de pruebas PCR, Bajas laborales y motivos de la misma, Absentismo laboral, (Asunto propio, enfermedad común, accidente cónyuge, pareja de hecho o parientes), etc.

 

Así, todos aquellos datos que no se refieran a nombres, apellidos, DNI, categoría profesional y resultado de PCR, resultarían del todo desproporcionados.

EN RELACIÓN A LAS VISITAS Y A LAS PERSONAS USUARIAS:
Fecha de visita, hora de inicio, hora de fin, nombre del visitante, observaciones, número de visitantes, grado de parentesco, número de teléfono, email, si traen o se llevan algo, si salen no de las instalaciones y el tiempo que dura la salida, etc. Comunicación con familiares (telefónica, videoconferencia, hora de inicio de la comunicación, hora de fin, observaciones).

 

Del mismo modo, resulta absolutamente desproporcionado, no ajustado a la finalidad y vulnera el principio de minimización de manera clara y evidente, la cumplimentación de todos aquellos datos de las personas que visitan a los usuarios que no sean los estrictamente identificativos y relativos a la fecha de la visita, y ello única y exclusivamente en  relación  a  poder  realizar  un seguimiento o rastreo posterior, en su caso, de contagio por contacto del COVID.

 

Por otro lado, la segunda de las infracciones vino motivada porque el órgano andaluz no realizó una Evaluación de Impacto previa a la creación de la plataforma y a su puesta en funcionamiento. La realización de una Evaluación de Impacto es de obligado cumplimiento cuando se realizan tratamientos de datos a gran escala y relativos a datos de salud, como los que se solicitaban en la plataforma, y tiene como objetivo valorar las condiciones y medidas de seguridad para tratar los datos.

Además de lo anterior, en el transcurso del procedimiento, se puso de manifiesto que la Consejería de Igualdad Políticas Sociales y conciliación adjudicó el contrato de gestión de la plataforma a una empresa que no estaba en posesión de la preceptiva certificación en el ESQUEMA NACIONAL DE SEGURIDAD.

Finalmente, con fecha en 27 de diciembre de 2022, el Consejo de Transparencia y Protección de Datos de Andalucía resolvió el procedimiento sancionador apercibiendo a la Viceconsejería de la Consejería de Inclusión Social, Juventud, Familias e Igualdad (que sustituyó en agosto de 2022 a la inicialmente reclamada Secretaría General de Políticas Sociales, Voluntariado y Conciliación) por las infracciones señaladas, paralizando la implantación de la plataforma hasta que las deficiencias sean subsanadas.

Esta resolución pone de manifiesto un grave incumplimiento de la normativa de protección de datos por parte de la propia administración (Secretaría General de Políticas Sociales, Voluntariado y Conciliación de la Junta de Andalucía) que, de no haber sido debidamente advertida y denunciada por LARES ANDALUCÍA, que contó con nuestro asesoramiento para ello, hubiera supuesto una grave vulneración de los derechos de los afectados.

Igualmente se hace preciso apuntar la necesidad de contar con la implantación de un buen plan de cumplimiento normativo en materia de protección de datos en los Centros socio-sanitarios, que constituya una herramienta indispensable para garantizar que los tratamientos de datos de usuarios, residentes y trabajadores, se realizan respetando la normativa.

Abrir chat
¿Necesitas ayuda?
Hola
¿En que podemos ayudarte?