Nº de Registros encontrados: 152

Mostrando del 91 al 105

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ley Art Ordenar descendente Párrafo Resumen Sentido Ámbito Órgano Ficha
RPS-15/2022 20/04/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 29
  • Vulneración en relación al "Tratamiento bajo la autoridad del responsable o del encargado del tratamiento"
El reclamante denuncia que cierto personal sanitario que no formaba parte de su proceso asistencial ha accedido a su historia clínica y ha divulgado datos de la misma. Se constata por parte del SAS la existencia e dichos accesos e inicia el correspondiente expediente disciplinario contra el personal que ha realizado los mismos.
Se dirige un APERCIBIMIENTO al órgano incoado por el quebrantamiento por parte del personal del mismo de las medidas de seguridad implantadas, y se insta a concluir el correspondiente expediente disciplinario.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-33/2022 13/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 29
  • 32.1
  • Vulneración en relación al "Tratamiento bajo la autoridad del responsable o del encargado del tratamiento"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el acceso indebido a la historia clínica de la persona reclamante desde un Centro de Salud distinto al que tiene asignado. Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador por posible incumplimiento tanto del artículo 29 RGPD, por acceso indebido de personal a la historia clínica de la persona reclamante, como del artículo 32.1 RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para evitar los accesos indebidos a la historia clínica de la persona reclamante, al haberse detectado la existencia de un posible acceso indebido por parte de un profesional de enfermería.
Alega el órgano reclamado que mientras no se haya resuelto el expediente disciplinario que aclare los motivos por los cuales se produjeron los accesos a la historia clínica de la persona reclamante por parte del profesional de ese Centro de Salud, no puede acreditarse que el acceso por parte de este profesional sea constitutivo de infracción. Alega además que el acceso a la historia clínica de un paciente desde un centro distinto al que este tiene asignado, no implica necesariamente una infracción ya que la consulta a dicho historial médico podría tener lugar, entre otros motivos, desde otro centro por el profesional que ya le atendió previamente.
Ante dicho argumento, el Consejo en ningún momento se cuestiona dicha circunstancia que, evidentemente, responde a la necesidad de garantizar la atención de las personas usuarias del Servicio Andaluz de Salud desde cualquier lugar y, por ende, su derecho a la salud. Sin embargo, hasta la fecha de la Resolución, no se facilitaron a este organismo las razones concretas que justifican el acceso a la historia clínica de la persona reclamante desde el ese Centro de Salud, ni se ha acreditado la existencia de medidas técnicas u organizativas en el mismo que impidan que puedan producirse accesos indebidos.
Por consiguiente, se dirige un APERCIBIMIENTO a la Dirección General de Asistencia Sanitaria y Resultados en Salud (Servicio Andaluz de Salud), por infracción de los artículos 29 y 32.1 RGPD, tipificadas en el artículo 83.4 RGPD, en relación con el acceso indebido de personal a la historia clínica de la reclamante, y la falta de aplicación de medidas técnicas y organizativas apropiadas para evitarlo.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-2023/003 10/03/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el envío de un correo electrónico, adjuntando convocatoria a la Mesa General de Negociación, sin ocultar las direcciones de las personas destinatarias, representantes sindicales, entre las que se incluía alguna dirección de correo personal (no corporativa) y que resultó accesible por todos los destinatarios.
Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación.
Por ello, se dirigió un APERCIBIMIENTO al Ayuntamiento de Sanlúcar la Mayor, por la infracción del artículo 32 RGPD, tipificada en el artículo 83.4.a) RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales y evitar la divulgación a terceros. Como medida adicional se insta al Ayuntamiento la implantación y desarrollo de las medidas en relación con el tratamiento objeto de la reclamación, así como que se publique el inventario de actividades de tratamiento en la página web del Ayuntamiento.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE SANLÚCAR LA MAYOR Ver
RPS-2024/015 10/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • LOPDP
  • 32
  • 37
  • Registro de las actividades de tratamiento
  • Seguridad del tratamiento
Se reclama que en las dependencias de la Policía Local del Ayuntamiento de Sevilla, en una oficina de la unidad de registro, se conservan los documentos que los órganos judiciales dirigen a la Policía Local en cajas en estanterías abiertas sin que nada impida ni obstaculice el acceso a los mismos por parte de cualquier persona que trabaje o acceda a la oficina aunque no forme parte de sus funciones el conocimiento de estos. También se denuncia que se llevan a cabo gestiones telefónicas con los órganos judiciales por el personal asignado a tal fin pero nada impide que el resto del personal escuche dichas conversaciones.
En las actuaciones investigadoras y en la instrucción se determina que el tratamiento de datos en dichos documentos debido a su naturaleza, finalidad y, al ser la Policía Local una autoridad competente para ello entra dentro del ámbito de aplicación de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (LOPDP). Se determina también que las medidas de seguridad de conservación de los documentos eran insuficientes en relación al riesgo para los derechos y libertades de los interesados.
Por ello se resuelve DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Sevilla, por una vulneración del artículo 37 de la LOPDP en relación con la ausencia de medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado y, por una vulneración del artículo 32 de la LOPDP, en relación con las insuficiencias encontradas en el registro de actividades de tratamiento.
En cuanto a las medidas correctivas, se resuelve ordenar al Ayuntamiento de Sevilla en relación con las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, que:
- Remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de la adopción de medidas de seguridad para garantizar un nivel de seguridad adecuado, adicionales a las ya adoptadas, y que eviten que se produzcan situaciones como la que han dado origen a la reclamación.
- Remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de haber realizado una completa revisión del registro de actividades de tratamiento del Ayuntamiento de Sevilla y a que en el mismo se reflejen adecuadamente las actividades de tratamiento que lleve a cabo la Policía Local de Sevilla que estén sometidas a la LOPDP con el fin de dar cumplimiento al artículo 32 LOPDP, incluyendo las adecuadas bases de legitimación de la LOPDP, las categorías de datos de infracciones penales y sanciones penales y los derechos que se pueden ejercer en el ámbito de la LOPDP.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE SEVILLA Ver
RPS-2023/010 17/10/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo de Transparencia y Protección de Datos para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como Autoridad de Control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control, en particular, al Ayuntamiento de Linares, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Linares no realizo el nombramiento de un Delegado de Protección de Datos, a pesar de los múltiples requerimiento por parte de este Consejo para que lo efectuase, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Linares por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) RGPD, y como medida se impone que en el plazo de un mes a partir de la notificación de la resolución, por parte del órgano apercibido, se acredite ante este Consejo la designación de un Delegado de Protección de Datos.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE LINARES Ver
RPS-2023/011 07/11/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo de Transparencia y Protección de Datos para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como Autoridad de Control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control, en particular, al Ayuntamiento de Canena, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
Este Consejo constató que, el Ayuntamiento de Canena ya había designado a una persona para ejercer las funciones del Delegado de Protección de Datos; designación que comunicó a esta Autoridad de Control el mismo día de la firma del acuerdo de inicio del procedimiento sancionador.
Por ello, se declara el ARCHIVO del procedimiento sancionador y, consiguientemente, la terminación del procedimiento, como consecuencia de la desaparición sobrevenida del objeto, en la medida en que el Ayuntamiento de Canena había dado cumplimiento a la necesaria designación de un Delegado de Protección de Datos en el momento de inicio del mismo.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CANENA Ver
RPS-2023/013 24/11/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Se reclama la falta de designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control por parte del Ayuntamiento de Camas.
El Ayuntamiento de Camas alegó que estaba tramitando un contrato de servicios de protección de datos y Delegado de Protección de Datos y que, una vez adjudicado el mismo, será designado el Delegado de Protección de Datos y notificado puntualmente al Consejo. Asimismo, alegó que, el 16 de marzo de 2023, se dictó Decreto de Alcaldía, por el que se designaba provisionalmente, y hasta la adjudicación del referido contrato, a un funcionario para el cumplimiento de las funciones de Delegado de Protección de Datos.
Sin embargo, en la medida en que la designación del Delegado de Protección de Datos es obligatoria desde el 2018 y que no es hasta el 16 de marzo de 2023, tras distintos requerimientos desde el Consejo, cuando se designó a un Delegado de Protección de Datos, incumplió el mencionado artículo 37 RGPD.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Camas por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) RGPD, y se insta a cumplir todos los extremos y con todos los datos necesarios la obligación a la que se refiere el artículo 34.3 LOPDGDD.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE CAMAS Ver
RPS-2024/012 07/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Larva, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Larva no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Larva por infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE LARVA Ver
RPS-2024/013 23/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Vera, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Vera no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Vera por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) del RGPD.
Como medida adicional, se ordena al Ayuntamiento de Vera que comunique al Consejo la designación de persona delegada de protección de datos de conformidad con lo dispuesto en el artículo 34.3 de la LOPDGDD, en el plazo máximo de tres meses tras la notificación de la resolución definitiva.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE VERA Ver
RPS-2024/014 23/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Guadix, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Guadix no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Guadix por infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD.
Como medida adicional, se ordena al Ayuntamiento de Guadix que comunique al Consejo la designación de persona delegada de protección de datos de conformidad con lo dispuesto en el artículo 34.3 LOPDGDD, en el plazo máximo de tres meses tras la notificación de la resolución definitiva.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE GUADIX Ver
RPS-2024/022 24/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Constantina, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Constantina no realizó el nombramiento de un Delegado de Protección de datos, y es por eso por lo que se inició procedimiento sancionador.
Sin embargo, de la documentación que obra en el expediente, se constató que, el Ayuntamiento de Constantina ya había designado, el 18 de diciembre de 2023, una persona que ejerciera las funciones del Delegado de Protección de Datos; designación que comunicó a esta autoridad de control el 13 de junio de 2024, es decir, el mismo día de la firma del acuerdo de inicio del procedimiento sancionador.
Por ello, se declara el ARCHIVO del procedimiento sancionador y, consiguientemente, la terminación del procedimiento, como consecuencia de haberse constatado la inexistencia de los hechos que constituían la infracción en el momento de dictarse el acuerdo de inicio, en la medida en que el Ayuntamiento de Constantina había dado cumplimiento a la necesaria designación de un Delegado de Protección de Datos en el momento de inicio del mismo.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CONSTANTINA Ver
RPS-2024/036 29/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Puerto Real, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Puerto Real por infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE PUERTO REAL Ver
RPS-2024/003 13/03/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 58
  • Incumplimiento de las resoluciones dictadas por la autoridad de control en el ejercicio de los poderes que le confiere el RGPD
Con fecha 2 de marzo de 2023, el director del Consejo dictó acuerdo de inicio de procedimiento sancionador contra el Ayuntamiento de Torredonjimeno, por la presunta infracción del artículo 58 RGPD, tipificada en el artículo 83.6) RGPD en relación con el incumplimiento de la Resolución RPS-11/2022 de fecha 3 de marzo de 2022, notificada el día 10 de marzo de 2022.
Notificado el acuerdo de inicio al órgano reclamado, éste presentó escrito de alegaciones, donde en síntesis señala que la dirección de internet que recoge la resolución de inicio de procedimiento sancionador desde la cual se accede a la reproducción del video del Pleno, no corresponde al Ayuntamiento de Torredonjimeno sino que se trata de una cuenta de Facebook de la entidad “Vivir Torredonjimeno TV”, la cual está dentro del Grupo Vivir Jaén que forma parte de la entidad Local de Medios, S.L.
A este respecto, este Consejo ha podido constatar que efectivamente en el aviso legal de la Página Web https://vivirjaen.com/torredonjimeno/, titular de la cuenta de Facebook donde se difunde públicamente la transcripción literal del audio privado del reclamante, consta como titular de la citada pagina web la entidad Local de Medios, S.L.
Por ello, se ARCHIVA el procedimiento sancionador por no existencia de infracción.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE TORREDONJIMENO Ver
RPS-1/2022 12/01/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que, por error, en la Intranet del órgano reclamado se 'cruzan' los DNI de dos personas, de modo que a cada una de ellas le aparecen en la Intranet las nóminas de la otra; quien reclama es una de ellas.
El órgano reclamado reconoce el error, pero tarda 15 días en solucionarlo desde que se notifica la incidencia, tiempo en que además la persona reclamante no tiene acceso a su nómina. Una vez solucionada la incidencia, y para que en el futuro no vuelva a ocurrir, se introducen nuevos controles en el acceso a los datos.
Además de dirigir un APERCIBIMIENTO, no se proponen medidas adicionales porque el órgano reclamado ya las tomó.
APERCIBIMIENTO JUNTA DE ANDALUCÍA AGENCIA DE SERVICIOS SOCIALES Y DEPENDENCIA DE ANDALUCÍA Ver
RPS-4/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama porque desde un órgano territorial de la Consejería de Educación y Deporte se remite un certificado de estudios de modo que, a través del código seguro de verificación (CSV) de la firma electrónica del documento es posible acceder a datos personales no solo de la persona que recibía el certificado, sino de todas aquellas que figuraban en el documento que se había firmado conjuntamente. Desde la Consejería se indica, aportando el Registro de Actividades de Tratamiento, que el responsable del correspondiente tratamiento es la Dirección General de Ordenación y Evaluación Educativa. No obstante, una vez iniciado el procedimiento sancionador contra el mencionado centro directivo por la vulneración del artículo 32.1 RGPD por la falta de aplicación de adecuadas medidas técnicas y organizativas, se llega a constatar, dado que desde la Consejería se modifica el criterio en relación con la responsabilidad de la operación de tratamiento objeto de la infracción, que la responsabilidad sobre la infracción cometida recaía en el órgano provincial.
Se sobresee el expediente contra la Dirección General y no cabe iniciar nuevo expediente contra el órgano provincial por la prescripción de la infracción.
No obstante, en la resolución se insta a la Consejería de Educación y Deporte a que determine claramente en su Registro de Actividades de Tratamiento quién o quiénes son los responsables de la operación de tratamiento que supone la certificación de los estudios realizados y en qué tratamiento o tratamientos está incluida dicha operación.
ARCHIVO JUNTA DE ANDALUCÍA CONSEJERÍA DE EDUCACIÓN Y DEPORTE Ver