Nº de Registros encontrados: 152
Mostrando del 91 al 105
En los campos marcados con O puedes introducir varios elementos separados por comas.
Posicionándonos sobre el campo se ofrece ayuda para su implementación.
| Nº | Fecha | Tipológia | Ley | Art | Párrafo | Resumen | Sentido Ordenar ascendente | Ámbito | Órgano | Ficha |
|---|---|---|---|---|---|---|---|---|---|---|
| RPS-2024/028 | 03/07/2024 |
|
|
|
|
Se reclama la conservación de datos personales del reclamante más tiempo del necesario e inexactitud de los mismos. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes. Se procede a DECLARAR la INFRACCIÓN responsabilidad del Colegio Oficial de Dentistas de Málaga, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del artículo 5.1.e) del RGPD como consecuencia de una vulneración sustancial del principio de limitación de conservación de los datos personales recogido en el el artículo 5.1.e) del RGPD en relación con el hecho de que la entidad reclamada conserva indefinidamente y para siempre los documentos, y datos personales incluidos en ellos, de las personas colegiadas en su archivo. Como medidas adicionales se propone ordenar al órgano incoado: - Remita a este Consejo en el plazo de 10 meses desde la fecha de notificación de la resolución que ponga fin a este procedimiento la documentación acreditativa de haber presentado a la Comisión Andaluza de Valoración de Documentos un estudio de identificación y valoración documental respecto a la documentación de las personas colegiadas en el ejercicio de sus funciones públicas para la elaboración y aprobación de la correspondiente tabla de valoración documental. - Remita a este Consejo, la publicación de la correspondiente aprobación de la tabla de valoración documental en el Boletín Oficial de la Junta de Andalucía cuando esta se produzca, así como la justificación de que la conservación de los datos y documentos correspondientes se adecúa a la valoración del plazo de conservación que se establezca en dichas tablas. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | COLEGIO OFICIAL DE DENTISTAS DE MÁLAGA | Ver |
| RPS-2024/029 | 12/07/2024 |
|
|
|
|
Notificación de una brecha de seguridad de datos personales por pérdida de un disco duro externo del Servicio de Admisión y Documentación Clínica de un Hospital. Se comprobó que el responsable del tratamiento incumplió el artículo 32.1 RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para evitar el posible acceso no autorizado a datos de categorías especiales de un número importante de personas, al haberse producido la pérdida o robo del mencionado dispositivo sin medidas de seguridad. Asimismo, por el carácter muy grave de los perjuicios potenciales para los derechos y libertades de las personas interesadas en tal número y en un contexto de atención sanitaria, se vulneró el artículo 5.1.f) RGPD. Notificada la propuesta de resolución al órgano reclamado, no presentó alegaciones. Por ello, se procede a DECLARAR la INFRACCIÓN responsabilidad de la Dirección General de Asistencia Sanitaria y Resultados en Salud (Servicio Andaluz de Salud) por la comisión de la infracción tipificada en el artículo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD, así como en el articulo 83.4.a) del RGPD por vulneración del articulo 32.1 del RGPD. |
DECLARACIÓN DE INFRACCIÓN | JUNTA DE ANDALUCÍA | SAS (SERVICIO ANDALUZ DE SALUD) | Ver |
| RPS-2024/030 | 12/07/2024 |
|
|
|
|
Se reclama la cesión indebida de datos a terceros. Tras un periodo de actuaciones previas de investigación, se comprobó que la entidad incoada sí comunicó a los denunciados el nombre y el apellido del ahora reclamante pero no su domicilio, ya que este último constaba como lugar de la infracción y no como domicilio del denunciante. Asimismo, el Ayuntamiento de Sevilla no justificó a este organismo la necesidad de comunicar el nombre y los apellidos del denunciante a los denunciados para el ejercicio de sus derechos, en este caso, el derecho de defensa o tutela judicial efectiva. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de Sevilla, Agencia Tributaria de Sevilla, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del articulo 5.1.c) del RGPD por comunicar datos personales que no eran adecuados y pertinentes para la finalidad de defensa de los denunciados. Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución, la documentación acreditativa de la puesta en marcha de actuaciones para evitar que se produzcan situaciones que ocasionaron a la reclamación que da origen al procedimiento sancionador, como por ejemplo un protocolo que establezca los criterios que se utilizarán para determinar aquellos casos en los que se comunicará la identidad del denunciante a la persona denunciada y aquellos casos en los que no se hará así . |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | AYUNTAMIENTO DE SEVILLA | Ver |
| RPS-2024/031 | 12/07/2024 |
|
|
|
|
El Consejo tuvo conocimiento, a través de noticias publicadas en medios de comunicación, de una posible vulneración de la normativa de protección de datos personales como consecuencia de posibles accesos indebidos a un importante volumen de expedientes bajo responsabilidad del Ayuntamiento de Jerez de la Frontera por parte de dos personas empleadas municipales. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Jerez de la Frontera, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD como consecuencia de la vulneración del principio de confidencialidad de los datos personales. Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de veinticuatro meses tras la notificación de la resolución, la documentación acreditativa de haber aplicado a los tratamientos de datos personales responsabilidad de esa entidad las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad (ENS), de conformidad con lo establecido en Disposición adicional primera de la LOPDGDD, para lo cual deberá realizar un análisis de riesgo conforme al artículo 24 del RGPD y, en los supuestos del artículo 35 del RGPD, una Evaluación de impacto relativa a la protección de datos. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | AYUNTAMIENTO DE JEREZ DE LA FRONTERA | Ver |
| RPS-2024/032 | 23/07/2024 |
|
|
|
|
Se reclama el envío de emails que contienen información confidencial de una persona que no soy yo (reclamante). Los emails contienen información relacionados con análisis de otra persona. Tras un periodo de actuaciones previas de investigación, se comprobó que se había producido una difusión indebida de datos de salud de unos pacientes a otro paciente, y por otra, no se acreditó que el órgano reclamado contara con medidas de seguridad para evitar el incidente. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR la INFRACCIÓN responsabilidad del Servicio Andaluz de Salud, por la comisión de las infracciones tipificadas en los artículos 83.5.a.) y 83.4.a) del RGPD por vulneración de los artículos 5.1.c) y 32 del RGPD como consecuencia de la falta de medidas de seguridad técnicas y organizativas que garanticen la confidencialidad de los datos personales y eviten la revelación de los mismos a terceros. Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de un mes tras la notificación de la resolución, la documentación acreditativa de la puesta en marcha de actuaciones para evitar que se produzcan situaciones como la que ha dado origen a la reclamación que da origen al procedimiento sancionador. |
DECLARACIÓN DE INFRACCIÓN | JUNTA DE ANDALUCÍA | SAS (SERVICIO ANDALUZ DE SALUD) | Ver |
| RPS-2024/033 | 24/07/2024 |
|
|
|
|
Se reclama la revelación de datos personales desde alcaldía o del equipo de gobierno. Tras un periodo de actuaciones previas de investigación, se comprobó que en [mes/año], se difundió a través de la aplicación Whatsapp, un documento interno relativo a [asunto] que incluía el nombre, los apellidos, el DNI y el domicilio de varios concejales, presentado el [día/mes/año], ante la entidad incoada. Asimismo, no quedó acreditado a este Consejo la implementación por parte de la entidad incoada de medidas de seguridad técnicas y organizativas en el momento de producirse los hechos objeto de la reclamación, ni la adopción de medidas posteriores para evitar posibles incidencias similares en el futuro. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de Baena, por la comisión de la infracción tipificada en el artículo 83.5.a.) del RGPD por vulneración del artículo 5.1.f) del RGPD por incumplimiento del principio de confidencialidad de datos. Como medida adicional se propone ordenar a la entidad incoada que informe al Consejo en el plazo de dos meses desde la notificación de la resolución, sobre la implantación y desarrollo de las medidas puestas en marcha por el Ayuntamiento en relación con el tratamiento objeto de la reclamación a los efectos de garantizar la confidencialidad de los datos personales, así como que proceda a la publicación de su Inventario de Actividades de Tratamiento con el fin de dar cumplimiento a lo dispuesto en el artículo 31.2 de la LOPDGDD y en el artículo 6 bis de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | AYUNTAMIENTO DE BAENA | Ver |
| RPS-2024/034 | 24/07/2024 |
|
|
|
|
Se reclama la comunicación de datos personales del reclamante (información de carácter sindical) a terceros a través de un grupo de whatsapp. Tras un periodo de actuaciones previas de investigación, se comprobó que el reclamante, mediante un correo electrónico dirigido a una lista de distribución correspondiente al Ayuntamiento de Cádiz, puso en conocimiento del mismo una serie de datos sindicales. Con posterioridad, dichos datos personales (nombre, apellidos, datos sindicales y laborales) fueron comunicados a terceros, por una determinada persona que se entiende que es policía local, a través de un grupo de whatsapp que según señala el órgano reclamado no es de su titularidad, siendo recriminada dicha conducta por el propio reclamante en el whatsapp. Asimismo, quedó acreditado que no se habían adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado (artículo 32 del RGPD).Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Cádiz, por la comisión de las infracciones tipificadas en el artículo 83.5.a.) del RGPD por vulneración del artículo 5.1.f) por incumplimiento del principio de confidencialidad de datos, así como la infracción tipificada en el artículo 83.4.a.) del RGPD por vulneración del artículo 32 por la ausencia de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales. Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de dos meses tras la notificación de la resolución, la documentación acreditativa de la adopción de medidas técnicas y organizativas necesarias y apropiadas, incluidas las puestas en marcha, para evitar que datos personales sean comunicados por miembros de la organización a terceros, vulnerando en principio de confidencialidad. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | AYUNTAMIENTO DE CÁDIZ | Ver |
| RPS-2024/035 | 24/07/2024 |
|
|
|
|
Se reclama la instalación cámaras de videovigilancia en una zona de esparcimiento de dependencias policiales (gimnasio) y en los vehículos policiales, incumpliendo los requisitos que la ley establece. Se constató que en el interior de los vehículos policiales estaban instaladas y en funcionamiento videocámaras de grabación/captación, sin que se contaran con las autorizaciones correspondientes para ello y sin haberse realizado previamente la correspondiente Evaluación de Impacto en la Protección de Datos. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Bormujos, por la comisión de las infracciones tipificadas en el artículo 58.a) de la LOPDP por vulneración de los artículos 6.1.a) y 17 de la LOPDP a consecuencia de la falta de legitimidad del tratamiento de videovigilancia móvil de la vía pública por la policía local desde los vehículos de la misma. Asimismo, se procede DECLARAR la INFRACCIÓN tipificada en el artículo 83.4.a) del RGPD por vulneración del artículo 35 del RGPD por no constar haber realizado la correspondiente Evaluación de Impacto. Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de dos meses tras la notificación de la resolución, la documentación acreditativa de que las cámaras de videovigilancia instaladas en los vehículos ya no están instaladas en los mismos, o que ya se cuentan con las autorizaciones y evaluaciones de impacto necesarias para su funcionamiento. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | AYUNTAMIENTO DE BORMUJOS | Ver |
| RPS-2024/036 | 29/07/2024 |
|
|
|
|
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Puerto Real, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa. El Ayuntamiento no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes. Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Puerto Real por infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | AYUNTAMIENTO DE PUERTO REAL | Ver |
| RPS-2024/016 | 11/06/2024 |
|
|
|
|
Se reclama la notificación a través de Boletín Oficial del Estado (BOE) de un acto administrativo publicando datos personales de la persona reclamante incumpliendo la normativa de protección de datos. Tras un periodo de actuaciones previas de investigación, quedó acreditado que el órgano reclamado publicó indebidamente en el BOE datos personales de la persona reclamante, al no haber actuado conforme a la normativa aplicable a las notificaciones administrativas, insertando un anuncio en el Boletín Oficial del Estado cuando aún no había concluido el trámite ordinario de notificación al interesado que exige dos intentos de notificación. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR la INFRACCIÓN responsabilidad del Organismo Provincial de Asistencia Económica y Fiscal de la Diputación de Sevilla por la comisión de la infracción tipificada el artículo 83.5.a) del RGPD por vulneración del artículo 5.1.f) del RGPD referido al principio de confidencialidad y de la infracción tipificada el artículo 83.4.a) RGPD por vulneración del artículo 32.1 del RGPD por falta de adopción de aquellas medidas técnicas y organizativa necesaria para garantizar la confidencialidad de los datos. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | ORGANISMO PROVINCIAL DE ASISTENCIA ECONÓMICA Y FISCAL DE LA DIPUTACIÓN DE SEVILLA | Ver |
| RPS-4/2022 | 14/02/2022 |
|
|
|
|
Se reclama porque desde un órgano territorial de la Consejería de Educación y Deporte se remite un certificado de estudios de modo que, a través del código seguro de verificación (CSV) de la firma electrónica del documento es posible acceder a datos personales no solo de la persona que recibía el certificado, sino de todas aquellas que figuraban en el documento que se había firmado conjuntamente. Desde la Consejería se indica, aportando el Registro de Actividades de Tratamiento, que el responsable del correspondiente tratamiento es la Dirección General de Ordenación y Evaluación Educativa. No obstante, una vez iniciado el procedimiento sancionador contra el mencionado centro directivo por la vulneración del artículo 32.1 RGPD por la falta de aplicación de adecuadas medidas técnicas y organizativas, se llega a constatar, dado que desde la Consejería se modifica el criterio en relación con la responsabilidad de la operación de tratamiento objeto de la infracción, que la responsabilidad sobre la infracción cometida recaía en el órgano provincial. Se sobresee el expediente contra la Dirección General y no cabe iniciar nuevo expediente contra el órgano provincial por la prescripción de la infracción. No obstante, en la resolución se insta a la Consejería de Educación y Deporte a que determine claramente en su Registro de Actividades de Tratamiento quién o quiénes son los responsables de la operación de tratamiento que supone la certificación de los estudios realizados y en qué tratamiento o tratamientos está incluida dicha operación. |
ARCHIVO | JUNTA DE ANDALUCÍA | CONSEJERÍA DE EDUCACIÓN Y DEPORTE | Ver |
| RPS-6/2022 | 14/02/2022 |
|
|
|
|
Se denuncia, por noticias aparecidas en prensa, que el Ayuntamiento de Jaén anuncia un convenio con una empresa para 'adecentar' locales y ordenar documentación responsabilidad del Ayuntamiento. La persona reclamante considera que la empresa podría estar accediendo sin las debidas garantías a dicha documentación, vulnerándose por tanto lo establecido en la normativa de protección de datos. En la instrucción del procedimiento no se llega a constatar, en relación con el convenio anunciado, que realmente se realizaran los trabajos. Al no constatarse la existencia de un tercero encomendado por el Ayuntamiento para hacer los trabajos, ni que esos trabajos se hubieran hecho, se considera que ha de archivarse el expediente sancionador. No obstante, sí se ha constatado la absoluta falta de colaboración del Ayuntamiento en la resolución del procedimiento al no remitir al Consejo ninguna información ni documentación solicitadas. Consecuencia de ello, la resolución ordena el inicio de un expediente para iniciar un posible expediente sancionador contra el Ayuntamiento por falta de colaboración con la autoridad de control. |
ARCHIVO | ENTIDADES LOCALES | AYUNTAMIENTO DE JAÉN | Ver |
| RPS-8/2022 | 24/02/2022 |
|
|
|
|
Se trata de una reclamación por la publicación en Internet de un listado de personas por parte del Ayuntamiento de Málaga, incluyendo nombre y DNI completos, incumpliendo la DA 7ª LOPDGDD en relación con la identificación de interesados en notificaciones por medio de anuncios y publicaciones de actos administrativos. El Ayuntamiento detecta rápidamente el error y lo corrige. En la instrucción del procedimiento se ha acreditado la existencia de medidas previas en relación con el cumplimiento de la normativa de protección de datos, en este caso relacionadas con la necesaria información al personal sobre la publicación de este tipo de listados, y se propone el sobreseimiento dado que se considera que ha existido ha sido un error puntual subsanado de forma inmediata. |
ARCHIVO | ENTIDADES LOCALES | AYUNTAMIENTO DE MÁLAGA | Ver |
| RPS-29/2022 | 10/10/2022 |
|
|
|
|
El procedimiento sancionador se incoa de oficio, tras la existencia de una reclamación que denuncia que en la convocatoria de la consulta popular para el cambio de denominación del estadio de fútbol de Cádiz se han incumplido preceptos de la normativa de protección de datos en relación, fundamentalmente, con la legitimidad del proceso, el consentimiento de los participantes, el tratamiento de datos de menores y la información sobre protección de datos a los participantes. Tras un periodo de actuaciones previas de investigación, se concluye que no necesariamente ha de ser el consentimiento la condición que legitima el tratamiento, sino el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, toda vez que la Ley Reguladora de Bases de Régimen Local habilita facilitar la participación ciudadana en la toma de decisiones; en relación a los menores, dado que no iba dirigida a ellos la consulta y que se habilitaron medios para no proceder al tratamiento de sus datos, se considera que no ha lugar a considerar la necesidad de contar con su consentimiento o el de sus progenitores. Sí se detectaron carencias en lo que se refiere a la información a aportar a los interesados, exigida por el artículo 13 RGPD, y es por eso por lo que se inició procedimiento sancionador, proponiendo el apercibimiento por una infracción del RGPD relativa a la omisión del deber de informar, calificada como muy grave, a efectos de prescripción, en la LOPDGDD. No obstante en sus alegaciones, el Ayuntamiento acredita que sí había informado sobre el tratamiento a los interesados, si bien de forma incompleta, cuestión que subsanó posteriormente. Teniendo en cuenta en la instrucción del procedimiento dichas alegaciones y comprobado lo manifestado por el ayuntamiento, puede concluirse que la infracción cometida no fue la omisión de deber de informar sino que la información ofrecida no era completa en relación con lo exigido por el artículo 13 RGPD; así, la infracción pasa de tener carácter muy grave (3 años de prescripción), a considerarse leve a efectos de prescripción, de acuerdo con el articulo 74.a) LOPDGDD, y por lo tanto el periodo de prescripción es de un año. Dado que el ayuntamiento subsanó además la falta de información, en el momento de iniciar el expediente sancionador ya había cumplido el periodo de prescripción, por lo que no cabría imponer la sanción de apercibimiento, dictándose pues el archivo de las actuaciones. |
ARCHIVO | ENTIDADES LOCALES | AYUNTAMIENTO DE CÁDIZ | Ver |
| RPS-2023/011 | 07/11/2023 |
|
|
|
|
Como parte de las actuaciones llevadas a cabo desde el Consejo de Transparencia y Protección de Datos para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como Autoridad de Control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control, en particular, al Ayuntamiento de Canena, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa. Este Consejo constató que, el Ayuntamiento de Canena ya había designado a una persona para ejercer las funciones del Delegado de Protección de Datos; designación que comunicó a esta Autoridad de Control el mismo día de la firma del acuerdo de inicio del procedimiento sancionador. Por ello, se declara el ARCHIVO del procedimiento sancionador y, consiguientemente, la terminación del procedimiento, como consecuencia de la desaparición sobrevenida del objeto, en la medida en que el Ayuntamiento de Canena había dado cumplimiento a la necesaria designación de un Delegado de Protección de Datos en el momento de inicio del mismo. |
ARCHIVO | ENTIDADES LOCALES | AYUNTAMIENTO DE CANENA | Ver |