Nº de Registros encontrados: 242

Mostrando del 1 al 15

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ley Art Párrafo Resumen Sentido Ámbito Órgano Ficha
RED-2024/049 26/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 21
  • Derecho de oposición
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de oposición ante la Diputación Provincial de Almería en relación con la publicación de datos personales en el Boletín Oficial de la Provincia de Almería.

Se DESESTIMA la reclamación ya que la Diputación Provincial de Almería ha acreditado haber puesto los medios necesarios para impedir que los buscadores de internet indexen las ediciones electrónicas del Boletín, que sólo se pueden consultar en su propia sede electrónica.
Se da traslado de la reclamación al Consejo General del Poder Judicial como autoridad de control competente por las posibles responsabilidades derivadas del Juzgado de lo Social número correspondiente, al ser este quien remitió el texto con los datos personales para su publicación.
DESESTIMADA ENTIDADES LOCALES DIPUTACIÓN PROVINCIAL DE ALMERÍA Ver
RED-2024/045 20/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • Derecho de acceso
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ante la Dirección General de Atención Sanitaria y Resultados en Salud (Servicio Andaluz de Salud) en relación con el acceso a la historia clínica de un familiar.
El reclamante solicitó diversos informes médicos y detalles sobre atenciones sanitarias específicas.

Se ESTIMA la reclamación porque la respuesta del organismo reclamado se produjo fuera del plazo establecido en la normativa (más de dos meses después de la solicitud inicial), no se puede confirmar que se atendiera a todos los aspectos solicitados, y el organismo no respondió al requerimiento adicional de información del Consejo.
Se insta a la Dirección General de Atención Sanitaria y Resultados en Salud a que remita a la parte reclamante una respuesta completa al derecho de acceso ejercitado.
ESTIMADA JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RED-2024/046 20/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • Derecho de acceso
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ante el Hospital Universitario Virgen de las Nieves de Granada (Servicio Andaluz de Salud) en relación con la solicitud de acceso a resultados médicos específicos de la historia clínica de un familiar.

Se DESESTIMA la reclamación ya que el reclamante no aportó la documentación requerida que acreditara la representación de su familiar para poder ejercitar el derecho de acceso a su historia clínica, pese a habérsele solicitado y reiterado dicho requerimiento en dos ocasiones.
El hospital actuó correctamente al declarar desistida la solicitud y archivar el expediente, de acuerdo con lo dispuesto en los artículos 68 y 95 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y el artículo 18 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, que exige acreditar debidamente la representación para ejercer el derecho de acceso a la historia clínica de un paciente.
DESESTIMADA JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RED-2024/047 20/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • Derecho de acceso
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ante la Delegación Territorial de Desarrollo Educativo y Formación Profesional en Granada en relación con documentación educativa y seguimiento académico de un menor en un Conservatorio.

Se ESTIMA la reclamación ya que el responsable del tratamiento no dio respuesta en el plazo establecido por la normativa a las solicitudes reiteradas de acceso a los datos presentadas por el reclamante.
Se insta a la Delegación Territorial de Desarrollo Educativo y Formación Profesional en Granada para que remita respuesta al derecho de acceso ejercitado y se iniciarán actuaciones para la posible incoación de expediente sancionador por falta de colaboración con el Consejo.
ESTIMADA JUNTA DE ANDALUCÍA CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL Ver
RED-2024/048 20/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • Derecho de acceso
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ante la Agencia de Servicios Sociales y Dependencia (Centro Residencial) en relación con datos personales del familiar del reclamante durante su estancia en dicha residencia.

Se ARCHIVA la reclamación por no ser competente el Consejo para su conocimiento, al determinarse que la plaza ocupada por el familiar del reclamante era de naturaleza privada y no correspondía a ninguna de las plazas adjudicadas en el concierto social entre la residencia y la Agencia, quedando fuera del ámbito competencial del Consejo según el artículo 3.1 de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.
Además, se constata que la Agencia Española de Protección de Datos ya había resuelto previamente sobre el mismo asunto, considerando ajustada a la normativa la denegación de la solicitud formulada por la parte reclamante.
ARCHIVO JUNTA DE ANDALUCÍA AGENCIA DE SERVICIOS SOCIALES Y DEPENDENCIA DE ANDALUCÍA Ver
RPS-2024/076 20/12/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • RGPD
  • LOPDGDD
  • 13
  • 37
  • 34
  • Información que deberá facilitarse cuando los datos personales se obtengan del interesado
  • Designación del delegado de protección de datos
  • Designación del delegado de protección de datos
La reclamación se presentó contra la Mancomunidad de Municipios Bahía de Cádiz por diversas deficiencias en materia de protección de datos detectadas en su página web, donde no existían políticas informativas adaptadas a los requisitos del RGPD, no se incluían cláusulas informativas en los formularios de contacto, no había información sobre el uso de cookies y no se había designado un Delegado de Protección de Datos (DPD).
El Consejo de Transparencia y Protección de Datos de Andalucía constató que la página web recogía datos personales mediante formularios y cookies sin proporcionar la información exigida por la normativa, y que la entidad no designó DPD hasta más de cinco años después de establecerse como obligación legal.

Se DECLARA que la Mancomunidad ha cometido infracciones por vulneración del artículo 13 del RGPD relativo a la obligación de informar al interesado sobre el tratamiento de sus datos personales, y de los artículos 37 del RGPD y 34 de la LOPDGDD sobre la obligación de designar un DPD y comunicar su designación a la autoridad de control.
La resolución establece una declaración de infracción sin imponer medidas adicionales, considerando suficientes las acciones correctivas ya adoptadas por la entidad reclamada.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES MANCOMUNIDAD DE MUNICIPIOS BAHÍA DE CÁDIZ Ver
RPS-2024/077 20/12/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Encargado del tratamiento
La reclamación contra la Diputación Provincial de Cádiz tiene origen en la ausencia de contrato o acto jurídico que recoja los requisitos del artículo 28 del RGPD en la relación entre la Diputación Provincial de Cádiz y su medio propio, EPICSA, encargada del tratamiento de datos en el marco de diversos servicios informáticos, entre ellos, el envío de notificaciones tributarias a los contribuyentes. Se constata que el encargo de tratamiento se efectuó sin recoger las estipulaciones exigidas por el artículo 28.3 RGPD, ni como parte del texto contractual ni en documentación anexa.
La resolución DECLARA la infracción cometida por la Diputación Provincial de Cádiz al vulnerar el artículo 28 del RGPD, tipificada en el 83.4.a del RGPD y calificada a efectos de prescripción como grave en el artículo 73.k) LOPDGDD. Además, se ordena la remisión de documentación que acredite la adopción de medidas técnicas u organizativas que garanticen el cumplimiento del artículo 28 RGPD en futuros encargos a su medio propio, EPICSA.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES DIPUTACIÓN PROVINCIAL DE CÁDIZ Ver
RED-2024/042 18/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • 16
  • Derecho de acceso
  • Derecho de rectificación
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso y rectificación ante la Dirección General de Asistencia Sanitaria y Resultados en Salud del Servicio Andaluz de Salud en relación con datos del historial clínico del reclamante.
La persona reclamante presentó su solicitud y, tras no recibir respuesta, contactó con el Delegado de Protección de Datos, sin obtener tampoco respuesta satisfactoria.

Se ESTIMA la reclamación ya que, aunque el organismo reclamado indica haber iniciado algunos trámites para atender la solicitud, no ha aportado prueba documental de haber proporcionado una respuesta completa al ejercicio de derechos dentro del plazo establecido por la normativa.
Se insta a la Dirección General de Asistencia Sanitaria y Resultados en Salud del Servicio Andaluz de Salud a que remita al Consejo la respuesta al derecho de acceso y rectificación ejercitado, así como los justificantes de envío y recepción de la misma.
ESTIMADA JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RED-2024/043 18/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 16
  • Derecho de rectificación
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de rectificación ante la Dirección General de Asistencia Sanitaria y Resultados en Salud del Servicio Andaluz de Salud en relación con errores contenidos en un informe médico de urgencias.
La persona reclamante solicitó la rectificación de diversos datos incorrectos en su historia clínica, presentando posteriormente una segunda solicitud al considerar que la primera respuesta seguía conteniendo errores.

Se declara la PÉRDIDA SOBREVENIDA DEL OBJETO DE LA RECLAMACIÓN Y, CONSIGUIENTEMENTE, LA TERMINACIÓN DEL PROCEDIMIENTO, al constatarse que, tras la presentación de la reclamación ante el Consejo pero antes de finalizar el plazo de un mes otorgado por aplicación del artículo 37.2 LOPDGDD, el organismo reclamado estimó la segunda solicitud de rectificación y procedió a corregir los errores del informe médico, quedando acreditado mediante la aportación de la resolución estimatoria remitida a la persona reclamante.
ARCHIVO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RED-2024/044 18/12/2024
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • Derecho de acceso
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ante la Diputación Provincial de Cádiz en relación con la solicitud de información sobre cesión de datos personales del reclamante a terceros, específicamente acerca de la identidad de personas a las que se comunicaron sus datos como denunciante de infracciones de tráfico.
Se ESTIMA la reclamación porque el organismo reclamado no proporcionó información completa sobre los destinatarios concretos de los datos personales del reclamante, limitándose a indicar que no se habían facilitado datos a "terceros", cuando debía haber informado sobre la identidad de todos los destinatarios de los datos, conforme establece el artículo 15.1.c) del RGPD y la jurisprudencia del Tribunal de Justicia de la Unión Europea (Sentencia C-154/21). Se insta a la Diputación Provincial de Cádiz a que remita a la parte reclamante respuesta completa al derecho de acceso ejercitado.
ESTIMADA ENTIDADES LOCALES DIPUTACIÓN PROVINCIAL DE CÁDIZ Ver
RPS-2024/075 12/12/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Encargado del tratamiento
La Empresa Pública de Información de Cádiz Sociedad Anónima (EPICSA), dependiente de la Diputación Provincial de Cádiz, formalizó un contrato para la implantación y soporte de una herramienta en ayuntamientos de la provincia, que incluía la recogida de datos identificativos y organizativos de trabajadores municipales usuarios de la plataforma.
Este contrato implicaba un encargo de tratamiento de datos personales a un tercero (SERMICRO), pero EPICSA no cumplimentó adecuadamente el anexo específico de tratamiento de datos que debía incorporar al contrato, omitiendo elementos esenciales exigidos por el artículo 28.3 del RGPD.

Se DECLARA la INFRACCIÓN del artículo 28 del RGPD al no formalizar adecuadamente el encargo de tratamiento con un tercero mediante contrato u otro acto jurídico con el contenido legalmente exigido.
Al tratarse de una sociedad mercantil local y no un organismo público ni entidad de derecho público, EPICSA no está sujeta al régimen sancionador especial del artículo 77 LOPDGDD, por lo que podría ser objeto de multa administrativa; sin embargo, se opta por el apercibimiento y no se impone multa administrativa considerando que el contrato no llegó a ejecutarse, no hubo perjuicio para interesados y la entidad ha cooperado con la autoridad de control.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES EMPRESA PUBLICA DE INFORMACIÓN DE CÁDIZ SOCIEDAD ANÓNIMA (DIPUTACIÓN PROVINCIAL DE CÁDIZ) Ver
RPS-2024/074 05/12/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • 25
  • 30
  • 35
  • 44
  • Información que deberá facilitarse cuando los datos personales se obtengan del interesado
  • Protección de datos desde el diseño y por defecto
  • Registro de las actividades de tratamiento
  • Evaluación de impacto relativa a la protección de datos
  • Principio general de las transferencias
La Consejería de Desarrollo Educativo y Formación Profesional de la Junta de Andalucía, suscribió un convenio con Google Ireland Limited para la implementación de la plataforma Google Workspace for Education en centros educativos públicos andaluces, realizando un tratamiento masivo de datos personales de alumnado y profesorado sin adoptar las medidas técnicas y organizativas necesarias para garantizar adecuadamente la protección de dichos datos.

El Consejo determina la vulneración de distintas obligaciones del RGPD:
- falta de adopción de medidas para evitar el tratamiento de categorías especiales de datos (art. 25);
- falta de adopción de medidas para evitar el tratamiento de imágenes inapropiadas (art. 25);
- omisión del deber de informar a los interesados sobre el tratamiento de sus datos (art. 13);
- transferencias internacionales de datos a terceros países sin las garantías adecuadas (arts. 44-49);
- falta de información en el registro de actividades de tratamiento sobre dichas transferencias (art. 30);
- y, no haber realizado la preceptiva evaluación de impacto en protección de datos (art. 35).

Se DECLARAN seis infracciones y se ordena al responsable implementar diversas medidas correctivas, incluyendo: medidas para limitar el tratamiento de categorías especiales de datos, mecanismos adecuados de información a los interesados, instrucciones sobre el tratamiento de imágenes y contenido audiovisual, actualización del registro de actividades de tratamiento, realización de una evaluación de impacto y suspensión de flujos de datos hacia terceros países sin garantías adecuadas.
DECLARACIÓN DE INFRACCIÓN JUNTA DE ANDALUCÍA CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL Ver
RPS-2024/072 03/12/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.c)
  • Vulneración del principio de “minimización de datos”
Una persona participante en un proceso selectivo para la constitución de una bolsa de trabajo denunció que el Ayuntamiento de la Puebla de Cazalla publicó en su sede electrónica y tablón de edictos un Decreto de Alcaldía donde aparecían los nombres completos, DNI íntegros (solo sin la letra) y calificaciones de todos los participantes en el proceso, vulnerando así su derecho a la protección de datos.
El Ayuntamiento de la Puebla de Cazalla publicó más información personal de la necesaria para la identificación de los participantes en el proceso selectivo, contraviniendo lo establecido en la Disposición adicional séptima de la LOPDGDD, que solo permite identificar a los interesados mediante su nombre y apellidos añadiendo cuatro cifras numéricas aleatorias del DNI. Esta publicación excesiva de datos personales supuso un riesgo innecesario para los derechos de los afectados.
La resolución concluye con una DECLARACIÓN DE INFRACCIÓN del artículo 5.1.c) del RGPD, que establece el principio de minimización de datos, tipificada en el artículo 83.5.a) del RGPD. No se ordenan medidas adicionales puesto que el Ayuntamiento ya ha corregido su práctica en publicaciones posteriores, donde ha dejado de mostrar todas las cifras de los DNI y ha suprimido las calificaciones.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE LA PUEBLA DE CAZALLA Ver
RPS-2024/073 03/12/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.c)
  • Vulneración del principio de “minimización de datos”
La Universidad de Córdoba (Facultad de [materia universitaria]) remitió el correo electrónico de un estudiante que reclamaba por el solapamiento de horarios académicos a varios funcionarios y profesores, revelando sus datos identificativos (nombre, apellidos y dirección de correo) sin anonimizarlos.
Aunque los destinatarios eran miembros de la Comisión de Ordenación Académica competentes para resolver el asunto, la identidad del reclamante no era relevante para solucionar la incidencia sobre horarios, que podría haber sido planteada por cualquier alumno.
Se DECLARA INFRACCIÓN del principio de "minimización de datos" del artículo 5.1.c) RGPD, por comunicar datos personales de forma no adecuada, pertinente ni limitada a lo necesario para la finalidad perseguida.
Se insta a la Universidad a remitir documentación acreditativa de las medidas implementadas para evitar situaciones similares, como la aprobación de instrucciones para el personal sobre el tratamiento de datos en la gestión de reclamaciones.
DECLARACIÓN DE INFRACCIÓN JUNTA DE ANDALUCÍA UNIVERSIDAD DE CÓRDOBA Ver
RPS-2024/070 27/11/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32.1
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
El Ayuntamiento de Olivares publicó en su portal de transparencia un listado con la relación de puestos de trabajo que incluía los nombres y apellidos de los empleados municipales junto con el desglose completo de sus retribuciones anuales, permitiendo la identificación individual de cada trabajador junto a sus datos económicos.
El Consejo de Transparencia y Protección de Datos de Andalucía determinó que, aunque la Ley de Transparencia Pública de Andalucía exige publicar las relaciones de puestos de trabajo con indicación de sus retribuciones anuales, esta publicación debe hacerse sin incluir datos identificativos personales de los empleados que ocupan dichos puestos.

Se DECLARA que el Ayuntamiento de Olivares ha cometido una infracción del artículo 5.1.f) del RGPD por vulneración del principio de confidencialidad al no garantizar un tratamiento adecuado que proteja los datos personales, y del artículo 32.1 del RGPD por falta de medidas técnicas y organizativas apropiadas para garantizar la seguridad del tratamiento.
No se considera necesario ordenar al Ayuntamiento la implementación de medidas adicionales a las ya adoptadas tras detectarse la incidencia, siendo suficiente la declaración de infracción.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE OLIVARES Ver