Nº de Registros encontrados: 113

Mostrando del 76 al 90

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ley Art Párrafo Resumen Sentido Ámbito Órgano Ficha
RPS-2023/004 13/03/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento
Se reclama la publicación de imágenes en redes sociales de una persona menor por parte del personal de un Centro educativo.
El órgano reclamado, entre otras cuestiones, alega que el Pliego de Clausulas Administrativas Particulares (PCAP) tipo contempla determinadas obligaciones respecto de la protección de datos en su Anexo XXV, modelo de acuerdo de confidencialidad y en su Anexo XXVI, modelo del tratamiento de datos, todo ello en cumplimiento del RGPD y a la LOPDGDD. Sin embargo, entiende este Consejo que sin perjuicio de que en el modelo de PCAP tipo se hiciera referencia al tratamiento de datos personales, ni en el contrato ni en sus distintas prórrogas suscritas entre la Consejería de Igualdad, Políticas Sociales y Conciliación y la Entidad se regulaba el acceso de ésta a los datos personales responsabilidad del órgano reclamado cumpliendo todos los requisitos exigidos por el artículo 28 RGPD.
Por ello, se dirige un apercibimiento a la Dirección General de Infancia, Adolescencia y Juventud (Consejería de Inclusión Social, Juventud, Familias e Igualdad) por infracción del artículo 28 RGPD.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN Ver
RPS-2023/005 21/03/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento
Se reclama la instalación de una aplicación por parte del Consorcio Provincial de Bomberos de Málaga, cuyo uso podría no contar con las garantías necesarias sobre protección de datos de carácter personal.
El órgano reclamado no formuló alegaciones y se dirigió un APERCIBIMIENTO al Consorcio Provincial de Bomberos de Málaga por infracción del artículo 28 RGPD, tipificada en el artículo 83.4.a) RGPD por encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28 RGPD.
Asimismo, se insta al Consorcio Provincial de Bomberos de Málaga a que establezca o regularice un vínculo jurídico con la empresa responsable del tratamiento que de cumplimento a lo establecido en el artículo 28.3 RGPD. Además, deberá hacer público el inventario de sus actividades de tratamiento de acuerdo con lo dispuesto en el artículo 6bis LTAIBG. El plazo otorgado para estas actuaciones será de un mes desde la notificación de la presente resolución, debiendo dar cuenta al Consejo, en el mismo plazo, de lo realizado.
APERCIBIMIENTO ENTIDADES LOCALES CONSORCIO PROVINCIAL DE BOMBEROS DE MÁLAGA Ver
RPS-15/2022 20/04/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 29
  • Vulneración en relación al "Tratamiento bajo la autoridad del responsable o del encargado del tratamiento"
El reclamante denuncia que cierto personal sanitario que no formaba parte de su proceso asistencial ha accedido a su historia clínica y ha divulgado datos de la misma. Se constata por parte del SAS la existencia e dichos accesos e inicia el correspondiente expediente disciplinario contra el personal que ha realizado los mismos.
Se dirige un APERCIBIMIENTO al órgano incoado por el quebrantamiento por parte del personal del mismo de las medidas de seguridad implantadas, y se insta a concluir el correspondiente expediente disciplinario.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-33/2022 13/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 29
  • 32.1
  • Vulneración en relación al "Tratamiento bajo la autoridad del responsable o del encargado del tratamiento"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el acceso indebido a la historia clínica de la persona reclamante desde un Centro de Salud distinto al que tiene asignado. Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador por posible incumplimiento tanto del artículo 29 RGPD, por acceso indebido de personal a la historia clínica de la persona reclamante, como del artículo 32.1 RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para evitar los accesos indebidos a la historia clínica de la persona reclamante, al haberse detectado la existencia de un posible acceso indebido por parte de un profesional de enfermería.
Alega el órgano reclamado que mientras no se haya resuelto el expediente disciplinario que aclare los motivos por los cuales se produjeron los accesos a la historia clínica de la persona reclamante por parte del profesional de ese Centro de Salud, no puede acreditarse que el acceso por parte de este profesional sea constitutivo de infracción. Alega además que el acceso a la historia clínica de un paciente desde un centro distinto al que este tiene asignado, no implica necesariamente una infracción ya que la consulta a dicho historial médico podría tener lugar, entre otros motivos, desde otro centro por el profesional que ya le atendió previamente.
Ante dicho argumento, el Consejo en ningún momento se cuestiona dicha circunstancia que, evidentemente, responde a la necesidad de garantizar la atención de las personas usuarias del Servicio Andaluz de Salud desde cualquier lugar y, por ende, su derecho a la salud. Sin embargo, hasta la fecha de la Resolución, no se facilitaron a este organismo las razones concretas que justifican el acceso a la historia clínica de la persona reclamante desde el ese Centro de Salud, ni se ha acreditado la existencia de medidas técnicas u organizativas en el mismo que impidan que puedan producirse accesos indebidos.
Por consiguiente, se dirige un APERCIBIMIENTO a la Dirección General de Asistencia Sanitaria y Resultados en Salud (Servicio Andaluz de Salud), por infracción de los artículos 29 y 32.1 RGPD, tipificadas en el artículo 83.4 RGPD, en relación con el acceso indebido de personal a la historia clínica de la reclamante, y la falta de aplicación de medidas técnicas y organizativas apropiadas para evitarlo.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-2023/003 10/03/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el envío de un correo electrónico, adjuntando convocatoria a la Mesa General de Negociación, sin ocultar las direcciones de las personas destinatarias, representantes sindicales, entre las que se incluía alguna dirección de correo personal (no corporativa) y que resultó accesible por todos los destinatarios.
Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación.
Por ello, se dirigió un APERCIBIMIENTO al Ayuntamiento de Sanlúcar la Mayor, por la infracción del artículo 32 RGPD, tipificada en el artículo 83.4.a) RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales y evitar la divulgación a terceros. Como medida adicional se insta al Ayuntamiento la implantación y desarrollo de las medidas en relación con el tratamiento objeto de la reclamación, así como que se publique el inventario de actividades de tratamiento en la página web del Ayuntamiento.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE SANLÚCAR LA MAYOR Ver
RPS-1/2022 12/01/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que, por error, en la Intranet del órgano reclamado se 'cruzan' los DNI de dos personas, de modo que a cada una de ellas le aparecen en la Intranet las nóminas de la otra; quien reclama es una de ellas.
El órgano reclamado reconoce el error, pero tarda 15 días en solucionarlo desde que se notifica la incidencia, tiempo en que además la persona reclamante no tiene acceso a su nómina. Una vez solucionada la incidencia, y para que en el futuro no vuelva a ocurrir, se introducen nuevos controles en el acceso a los datos.
Además de dirigir un APERCIBIMIENTO, no se proponen medidas adicionales porque el órgano reclamado ya las tomó.
APERCIBIMIENTO JUNTA DE ANDALUCÍA AGENCIA DE SERVICIOS SOCIALES Y DEPENDENCIA DE ANDALUCÍA Ver
RPS-4/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama porque desde un órgano territorial de la Consejería de Educación y Deporte se remite un certificado de estudios de modo que, a través del código seguro de verificación (CSV) de la firma electrónica del documento es posible acceder a datos personales no solo de la persona que recibía el certificado, sino de todas aquellas que figuraban en el documento que se había firmado conjuntamente. Desde la Consejería se indica, aportando el Registro de Actividades de Tratamiento, que el responsable del correspondiente tratamiento es la Dirección General de Ordenación y Evaluación Educativa. No obstante, una vez iniciado el procedimiento sancionador contra el mencionado centro directivo por la vulneración del artículo 32.1 RGPD por la falta de aplicación de adecuadas medidas técnicas y organizativas, se llega a constatar, dado que desde la Consejería se modifica el criterio en relación con la responsabilidad de la operación de tratamiento objeto de la infracción, que la responsabilidad sobre la infracción cometida recaía en el órgano provincial.
Se sobresee el expediente contra la Dirección General y no cabe iniciar nuevo expediente contra el órgano provincial por la prescripción de la infracción.
No obstante, en la resolución se insta a la Consejería de Educación y Deporte a que determine claramente en su Registro de Actividades de Tratamiento quién o quiénes son los responsables de la operación de tratamiento que supone la certificación de los estudios realizados y en qué tratamiento o tratamientos está incluida dicha operación.
ARCHIVO JUNTA DE ANDALUCÍA CONSEJERÍA DE EDUCACIÓN Y DEPORTE Ver
RPS-5/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
La reclamación se realiza porque se ha recibido un expediente del juzgado, remitido a este desde el Servicio Andaluz de Salud (SAS), en el que, por error, se incluyen varias hojas de otro expediente, revelando datos personales de terceros.
Aunque se trata de un error puntual, no se termina de acreditar la existencia de medidas de seguridad formalmente establecidas en el procedimiento de remisión de la documentación al juzgado, si bien la incidencia es resuelta en cuanto se tiene conocimiento de la misma; se aporta información sobre las medidas a tomar en el futuro, pero sin que se acredite su implantación.
Se considera una infracción de artículo 32.1 RGPD (adopción de medidas para garantizar confidencialidad y disponibilidad) y sanciona con APERCIBIMIENTO, con la única medida adicional de que se acredite la puesta en marcha de las medidas que se decidió implantar.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-8/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación por la publicación en Internet de un listado de personas por parte del Ayuntamiento de Málaga, incluyendo nombre y DNI completos, incumpliendo la DA 7ª LOPDGDD en relación con la identificación de interesados en notificaciones por medio de anuncios y publicaciones de actos administrativos. El Ayuntamiento detecta rápidamente el error y lo corrige.
En la instrucción del procedimiento se ha acreditado la existencia de medidas previas en relación con el cumplimiento de la normativa de protección de datos, en este caso relacionadas con la necesaria información al personal sobre la publicación de este tipo de listados, y se propone el sobreseimiento dado que se considera que ha existido ha sido un error puntual subsanado de forma inmediata.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE MÁLAGA Ver
RPS-9/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación por acceso inadecuado a historia clínica. El Servicio Andaluz de Salud (SAS), tras recibir la reclamación, abre un procedimiento interno que le lleva a abrir 4 expedientes disciplinarios; en tres se concluía que los accesos eran correctos, pero el cuarto no finalizó, por lo que no se terminó de acreditar la validez de todos los accesos, considerándose que ha existido una infracción en relación al artículo 32.1 RGPD por el no funcionamiento adecuado de las medidas de seguridad establecidas.
Se dirige un APERCIBIMIENTO al responsable del tratamiento, sin medidas adicionales, dado que existe constancia de información al personal en la materia, de la existencia de medidas de seguridad y además se abrieron los expedientes disciplinarios correspondientes.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-12/2022 28/03/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
El reclamante, personal del propio Ayuntamiento, denuncia que se le han hecho llegar notificaciones personales permitiendo el acceso a los datos a terceras personas. Dado que el sistema utilizado por el Ayuntamiento no cumple con las medidas de seguridad necesarias para guardar la necesaria confidencialidad sobre los datos, se dirige un APERCIBIMIENTO a mismo por los hechos mencionados.
Además, se le insta, dado que aún no se había realizado, al nombramiento de DPD y a su comunicación a la autoridad de control, así como a la publicación de su inventario de actividades de tratamiento.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE LAS CABEZAS DE SAN JUAN Ver
RPS-14/2022 12/04/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que se han difundido en la web de la Universidad de Málaga (Facultad de Ciencias de la Educación) listados incluyendo nombre completo y DNI de alumnos como consecuencia de la publicación de centros para prácticas; desde la Universidad se reconoce esta circunstancia y se ponen medidas para corregir la información divulgada (si bien con bastante retraso), así como para que en el futuro se tenga en cuenta la necesidad de una correcta publicación.
Se dirige al órgano infractor un APERCIBIMIENTO por no haber guardado las necesarias medidas de seguridad y confidencialidad en la publicación de los datos, sin la imposición de medidas adicionales, ya que ya las ha llevado a cabo.
APERCIBIMIENTO UNIVERSIDADES PÚBLICAS UNIVERSIDAD DE MÁLAGA Ver
RPS-16/2022 19/04/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Una persona reclama que se le ha realizado una notificación por parte del Ayuntamiento de Sevilla, accesible a través de un enlace, y al acceder ve que tiene acceso a otras 188 comunicaciones dirigidas a otras personas. Efectivamente, se ha firmado electrónicamente un único documento compuesto por 189 comunicaciones, y el código seguro de verificación (CSV) correspondiente permite acceder a todas ellas. El ayuntamiento reconoce que se ha producido el error y comunica y acredita la adopción de medidas para que no se produzca en el futuro.
Se dirige un APERCIBIMIENTO al Ayuntamiento por no haber aplicado las medidas de seguridad y confidencialidad adecuadas, aunque no se le insta a poner en marcha medidas adicionales porque ya las ha llevado a cabo.
ENTIDADES LOCALES AYUNTAMIENTO DE SEVILLA Ver
RPS-20/2022 16/06/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Una persona se ve involucrada en un accidente de tráfico y es llevado a dependencias policiales para la realización de pruebas. A la mañana siguiente, aparecen publicados los resultados de las pruebas, por lo que la persona presenta una reclamación. De la documentación obrante en el expediente se deduce el protocolo aplicado podría no favorecer que se minimizara el riesgo de posibles fugas de información. Se considera que el Ayuntamiento de Jerez de la Frontera ha infringido el artículo relativo a medidas de seguridad apropiadas y se le dirige UN APERCIBIMIENTO, y la medida adicional de mejorar las medidas de seguridad de acuerdo con lo establecido en el Esquema Nacional de Seguridad. APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE JEREZ DE LA FRONTERA Ver
RPS-22/2022 07/06/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Varias personas reclaman que desde la Secretaría General Técnica de la Cj. de Igualdad, Políticas Sociales y Conciliación, se remite un correo conjunto a cuatro centrales sindicales adjuntando los datos de todos los liberados sindicales de estos sindicatos que se incorporan al trabajo, dando así acceso al personal de cada uno de los sindicatos que manejaran el correspondiente correo genérico al que se envió el listado a los datos de los liberados sindicales del resto de sindicatos; entre estos datos los hay identificativos, laborales y motivos de incorporación o no al puesto de trabajo. Desde la Consejería se envía un correo posterior separado a cada sindicato, con los datos solo de sus afiliados y con el ruego de borrado del correo anterior.
Se considera que el responsable del tratamiento reclamado no ha aplicado las adecuadas medidas de seguridad al remitir los correos y se le dirige un APERCIBIMIENTO, si bien no se incluyen medidas adicionales por ya haberlas tomado el organismo.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN Ver