L’Ajuntament va vulnerar la protecció de dades amb el Ripollet Aporta
L’Autoritat Catalana de Protecció de Dades (APDCAT) resol que l’Ajuntament va cometre quatre infraccions que ja han estat corregides
Una resolució sancionadora de l’Autoritat Catalana de Protecció de Dades (APDCAT) confirma que en la posada en marxa del Ripollet Aporta l’any 2022, l’Ajuntament, llavors governat per Decidim, no va tenir prou cura dels aspectes relacionats amb la Protecció de Dades. Malgrat que va ser un tema recurrent de queixa per part d’alguns veïns i que hi havia antecedents de litigis en altres municipis des del consistori no es van prendre totes les mesures necessàries per protegir les dades dels veïns.
L’APDCAT va rebre a finals del 2022 una primera denúncia derivada des de l’Agència Espanyola de Protecció de Dades i al març de 2023 una segona presentada per una altra persona. Els denunciants es queixaven per la cessió de les dades, pel xip de les bosses, per haver de declarar el motiu quan es demana accés a la bústia de tèxtil sanitari i per haver-se d’identificar per recollir bosses, entre d’altres.
Arran de les denúncies l’APDCAT va obrir una fase d’informació prèvia que es va perllongar amb reclamacions d’informació i requeriments a l’Ajuntament fins a l’octubre de 2023 quan va iniciar procediment sancionador. El passat 8 d’abril va emetre la resolució ferma que des de fa uns dies està publicada a la web de l’APDCAT.
Quatre infraccions de la RGPD
La resolució declara que l’Ajuntament va cometre quatre infraccions del Reglament General de Protecció de Dades (RGPD) i demana mesures correctores per una d’elles, l’única que encara no s’havia corregit, i el consistori ho ha fet enviant una carta a tots els domicilis informant de les condicions de cessió de les dades i del contacte del delegat de protecció de dades, un servei externalitzat i adjudicat el passat mes de novembre. A l’escrit, que està signat per l’alcalde, no es menciona la resolució però sí el compromís de l’Ajuntament, l’actual govern s’entén, per donar compliment al RGPD.
Les quatre infraccions
No es va fer una Avaluació d’Impacte de Protecció de Dades
L’APDCAT considera que la necessitat de fer una Avaluació d’Impacte de Protecció de Dades (AIPD) per la posada en marxa de la recollida porta a porta “era evident” i “del tot necessari” per això qualifica no fer-la d’infracció greu. L’Ajuntament va fer l’AIPD en 2023.
No es va informar als veïns sobre el tractament de les dades
Infracció molt greu per ometre el deure d’informar als afectats sobre el tractament de dades. L’APDCAT considera que s’havia d’haver fet en el moment inicial de repartiment dels materials del nou sistema en considerar que “l’adreça postal d’un immoble constitueix una dada personal”. L’Ajuntament resol la infracció amb la carta enviada fa uns mesos als domicilis.
No es pot demanar el motiu d’ús de la bústia de tèxtil sanitari
Al formulari per demanar poder utilitzar la bústia de tèxtil sanitari calia assenyalar el motiu triant entre tèxtil sanitari, defecacions d’animals o altres. Això vulnera el principi de minimització de les dades i es considera una infracció molt greu. L’Ajuntament va canviar el formulari l’any passat i en el nou no es demana el motiu.
Es van donar dades a tercers sense el preceptiu contracte d’encarregat
L’Ajuntament va enviar dades d’informació personal, del padró de la taxa d’escombraries, a Urbaser al febrer de 2023 sense disposar del corresponent contracte d’encarregat del tractament que en regula l’ús de les mateixes. És una infracció greu. El contracte es va signar a finals de març del 2023.