Nº de Registros encontrados: 152

Mostrando del 46 al 60

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ley Ordenar descendente Art Párrafo Resumen Sentido Ámbito Órgano Ficha
RPS-2024/007 02/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • 32
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la publicación del nombre, los apellidos, DNI y la dirección del reclamante en el tablón electrónico de edictos, de forma abierta en Internet sin autorización.
Tras un periodo de actuaciones previas de investigación, no quedo acreditado a este Consejo, que la entidad incoada informara al reclamante del tratamiento de sus datos personales dando cumplimiento al artículo 13 RGPD, si bien ésta remitió a este Consejo modelos de cláusulas a través de las cuales informa a los interesados del tratamiento de sus datos personales. Por ello, se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Se procede al ARCHIVO del expediente sancionador contra el Ayuntamiento de Chauchina, por la presunta vulneración de los artículos 13 y 32 RGP, en la medida que el hecho objeto de la reclamación tuvo lugar el dd/mm/aa y fueron inmediatamente corregidas el mismo día, la infracción cometida en lo que se refiere a la falta de información ofrecida a los interesados, sin perjuicio de que, como consecuencia de la presente reclamación, la entidad incoada procedió a adoptar diversas medidas con el fin de dar cumplimiento a la normativa de protección de datos personales.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CHAUCHINA Ver
RPS-2024/008 02/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la notificación personal a la persona reclamante de varias resoluciones sin estar dichos documentos previamente introducidos en sobre, firmando directamente sobre ellos el “recibí”, con lo que sus datos personales estaban expuestos a la vista del personal de notificadores del Ayuntamiento y de cualquier otra persona que pudiera acceder a la mismas.
Tras un periodo de actuaciones previas de investigación, este Consejo consideró insuficientes o bien directamente inexistentes las medidas para impedir el acceso indebido por terceros al contenido de las comunicaciones, aparte del ineludible deber de confidencialidad de los empleados públicos. Por ello, se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Dos Hermanas, por la comisión de las infracciones de los artículos 5 y 32 RGPD, tipificada en el artículo 83.4.a) RGPD, como consecuencia de la falta de adopción de aquellas medidas técnicas y organizativas apropiadas para garantizar que las notificaciones efectuadas por el Servicio de Notificadores del mencionado Ayuntamiento se efectúen de forma que garanticen la confidencialidad de las mismas.
Como medida, se ordena al Ayuntamiento de Dos Hermanas que remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de que el ensobrado es el modo sistemático y único de envío de notificaciones para todas las notificaciones que efectúe el Ayuntamiento.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE DOS HERMANAS Ver
RPS-2024/009 03/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 6
  • Vulneración del principio de “integridad y confidencialidad"
  • Vulneración de la "Licitud del tratamiento"
Se reclama la publicación en el Boletín Oficial de la Provincia de Sevilla de Resolución de la Alcaldía en la que se contienen nombre, apellidos, número de identificación profesional de todos los policías locales que integran la plantilla, el grupo profesional al que pertenecen y el cuadrante anual de servicio de cada uno de los agentes.
Tras un periodo de actuaciones previas de investigación, este Consejo consideró que la publicación en el BOP de la Resolución de Alcaldía sobre el sistema provisional de organización de servicios de Policía Local de Marchena, carecía de legitimidad, pues dicha publicación no viene impuesta por la normativa de transparencia, como alegó el Ayuntamiento y, por tanto, no está amparada en ninguna de las causas de legitimidad del artículo 6 RGPD. Por lo tanto, el Ayuntamiento incumplió los artículos 5.1.a) y 6 RGPD. Asimismo, la citada publicación es también una vulneración del principio de confidencialidad, pues el sentido de contar con un número de identificación profesional para agentes de fuerzas y cuerpos de seguridad es precisamente el de que se puedan identificar en sus actuaciones oficiales sin por ello tener que revelar su nombre y apellidos a fin de preservar su seguridad. Por ello, se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Marchena, por la comisión de las infracciones de los artículos 5.1.f) por vulneración del principio de confidencialidad en relación con la divulgación indebida de datos a terceros y 6) RGPD, referido a la licitud del tratamiento en relación con la falta de legitimidad para la publicación de los datos, tipificadas en el artículo 83.5. RGPD
Como medida adicional se ordena al Ayuntamiento de Marchena que remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de que efectivamente se haya procedido a la reasignación de los números de identificación de los agentes afectados por la Consejería competente de la Junta de Andalucía a solicitud del Ayuntamiento de Marchena y que por la Diputación Provincial de Sevilla, en relación con el Boletín Oficial de la Provincia, se haya procedido efectivamente a la desindexación de los datos personales publicados a solicitud del Ayuntamiento de Marchena.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE MARCHENA Ver
RPS-2024/010 03/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la recogida del dato de temperatura del personal del centro, en documento expuesto al resto de trabajadores.
Tras un periodo de actuaciones previas de investigación, este Consejo consideró que si bien la toma de temperatura y el registro de síntomas puede considerarse legítimo, esto no legitima que dichas anotaciones se mantuvieran a la vista del resto de los trabajadores del centro, más allá de aquellos cuyas funciones en materia de prevención de riesgos laborales u otras de tipo organizativo requirieran conocerlas. Tampoco se aportó evidencia alguna ni quedó acreditado que el órgano reclamado dispusiera de medidas o procedimientos de seguridad sobre el modo en que se tratan los datos de carácter personal, evitando el posible acceso a los mismos por parte de terceros. Por ello, se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR las INFRACCIONES responsabilidad de la Secretaría General Técnica (Consejería de Inclusión Social, Juventud, Familias e Igualdad), por la comisión de las infracciones tipificada el artículo 83.4. RGPD por vulneración sustancial del artículo 32 RGPD referido a la seguridad del tratamiento en relación con la ausencia de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales y la infracción tipificada en el art. 83.5. RGPD por vulneración sustancial del articulo 5.1.f) RGPD referido al principio de confidencialidad en relación con la divulgación indebida de datos a terceros.
DECLARACIÓN DE INFRACCIÓN JUNTA DE ANDALUCÍA SECRETARÍA GENERAL TÉCNICA DE LA CONSEJERÍA DE INCLUSIÓN SOCIAL, JUVENTUD, FAMILIAS E IGUALDAD Ver
RPS-2024/011 03/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
Se reclama la instalación de dispositivos de seguimiento y localización GPS en la flota de vehículos policiales y en equipos portátiles de transmisión, no habiendo informado al personal de dicha instalación.
Tras un periodo de actuaciones previas de investigación, este Consejo consideró que se había incumplido el artículo 13 del RGPD. Por ello, se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Área de Seguridad Ciudadana, Movilidad y Recursos Humanos del Ayuntamiento de Sevilla por la comisión de la infracción tipificada el artículo 83.5.b) RGPD por vulneración del artículo 13 del RGPD referido al deber de informar a los afectados acerca del tratamiento de sus datos personales, en relación con la instalación de dispositivos de geolocalización en vehículos y dispositivos de comunicación municipales.
Como medida adicional, se ordena a la entidad incoada para que remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de que se ha informado a los afectados, en los términos del artículo 13 del RGPD, acerca del tratamiento de sus datos personales, en relación con la instalación de dispositivos de geolocalización en vehículos y dispositivos de comunicaciones municipales o bien, que dichos dispositivos no están en funcionamiento.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE SEVILLA Ver
RPS-2024/012 07/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Larva, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Larva no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Larva por infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE LARVA Ver
RPS-2024/013 23/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Vera, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Vera no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Vera por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) del RGPD.
Como medida adicional, se ordena al Ayuntamiento de Vera que comunique al Consejo la designación de persona delegada de protección de datos de conformidad con lo dispuesto en el artículo 34.3 de la LOPDGDD, en el plazo máximo de tres meses tras la notificación de la resolución definitiva.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE VERA Ver
RPS-2024/014 23/05/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Guadix, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Guadix no realizó el nombramiento de un Delegado de Protección de Datos, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Guadix por infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD.
Como medida adicional, se ordena al Ayuntamiento de Guadix que comunique al Consejo la designación de persona delegada de protección de datos de conformidad con lo dispuesto en el artículo 34.3 LOPDGDD, en el plazo máximo de tres meses tras la notificación de la resolución definitiva.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE GUADIX Ver
RED-2024/016 11/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32.1
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la notificación a través del Boletín Oficial del Estado (BOE) de un acto administrativo publicando datos personales de la persona reclamante incumpliendo la normativa de protección de datos.
Tras un periodo de actuaciones previas de investigación, quedó acreditado que el órgano reclamado publicó indebidamente en el BOE datos personales de la persona reclamante, al no haber actuado conforme a la normativa aplicable a las notificaciones administrativas, insertando un anuncio en el BOE cuando aún no había concluido el trámite ordinario de notificación a la persona interesada que exige dos intentos de notificación. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se resuelve DECLARAR las INFRACCIONES responsabilidad del Organismo Provincial de Asistencia Económica y Fiscal de la Diputación de Sevilla, por la comisión de la infracción tipificada el artículo 83.5.a) RGPD por vulneración del artículo 5.1.f) del RGPD referido al principio de confidencialidad y, por la infracción tipificada el artículo 83.4.a) RGPD por vulneración del artículo 32.1 RGPD por falta de adopción de aquellas medidas técnicas y organizativa necesaria para garantizar la confidencialidad de los datos.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES ORGANISMO PROVINCIAL DE ASISTENCIA ECONÓMICA Y FISCAL DE LA DIPUTACIÓN DE SEVILLA Ver
RPS-2024/017 12/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 6
  • 7
  • Licitud del tratamiento
  • Condiciones para el consentimiento
Se reclama la entrega de videos y fotografías del reclamante y de otros menores por la persona responsable de la tutoría de dichos menores a la Delegada de Padres.
Tras un periodo de actuaciones previas de investigación, quedó acreditado que la persona responsable de la tutoría habría obtenido y entregado videos y fotografías de los menores alumnos a la Delegada de Padres, y ésta a su vez los habría difundido a través del Grupo de WhatsApp creado por los padres, sin consentimiento de las personas afectadas. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede DECLARAR la INFRACCIÓN responsabilidad de CEIP, centro educativo dependiente de la Delegación Territorial en Jaén de la Consejería de Desarrollo Educativo y Formación Profesional por la comisión de la infracción tipificada en el art. 83.5.a del RGPD por vulneración sustancial de los artículos 6 y 7 del RGPD referido a falta de la legitimidad del tratamiento y de los requisitos exigidos para el consentimiento en relación con el uso de la imagen de un menor sin consentimiento para ello ni otra legitimación.
Como medida adicional se propone ordenar al CEIP, centro educativo dependiente de la Delegación Territorial en Jaén de la Consejería de Desarrollo Educativo y Formación Profesional, que remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de la existencia de medidas técnicas y organizativas adecuadas para evitar que se produzcan situaciones como la que ha dado origen a la reclamación que da origen al procedimiento sancionador.
DECLARACIÓN DE INFRACCIÓN JUNTA DE ANDALUCÍA CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL Ver
RPS-2024/018 13/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 9
  • 35
  • Categorías especiales de datos
  • Evaluación de impacto relativa a la protección de datos
Se reclama la implantación de un sistema de control de acceso del personal mediante uso de datos biométricos (reconocimiento facial y de la palma de la mano) sin la necesaria legitimidad, sin previa Evaluación de impacto relativa a la protección de datos (EIPD) ni información al personal.
Tras un periodo de actuaciones previas de investigación se constató que el órgano incoado llevó a cabo entre su personal un tratamiento de categorías especiales de datos biométricos sin que se diera una circunstancia que permitiera levantar la prohibición general del tratamiento de dichas categorías especiales de datos, lo que supone una vulneración de lo dispuesto en el artículo 9 del RGPD y que el tratamiento no cumplía con lo establecido en la normativa de protección de datos, por tanto, no era válido. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR las INFRACCIONES responsabilidad de la Diputación Provincial de Sevilla, por la comisión de la infracción tipificada en el art. 83.5.a) del RGPD por vulneración sustancial del articulo 9 del RGPD referido al tratamiento de categorías especiales de datos en relación con la implantación de un sistema de control horario por datos biométricos (reconocimiento facial y de palma de la mano), así como la infracción tipificada el artículo 83.4.a) del RGPD por vulneración sustancial del artículo 35 del RGPD referido a la Evaluación de impacto relativa a la protección de datos en relación al tratamiento de datos antes de llevar a cabo una evaluación de impacto relativa a la protección de datos cuando ésta era exigible.
Como medidas adicionales se propone:
a) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) y g) del RGPD y de acuerdo con el principio de transparencia recogido en el artículo 5.1.a) del RGPD proceda, en el plazo de un mes a comunicar individualmente a todas las personas afectadas, trabajen actualmente o no en la Diputación Provincial de Sevilla, que se ha efectuado la mencionada supresión de sus datos biométricos de reconocimiento facial y de palma de la mano. Para acreditar el cumplimiento de esta medida la Diputación Provincial de Sevilla debe remitir al Consejo, en el plazo máximo de un mes tras la notificación de la resolución definitiva, la documentación acreditativa de haber efectuado dichas comunicaciones.
b) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) RGPD que, en el plazo de un mes a corregir las menciones hechas a “Datos de reconocimiento biométrico a efectos de autenticación del control de presencia de su personal ” en el registro de actividades de tratamiento y que remita a este Consejo, en idéntico plazo, la documentación acreditativa de haber efectuado dichas correcciones.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES DIPUTACIÓN PROVINCIAL DE SEVILLA Ver
RPS-2024/019 13/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 6
  • 7
  • Licitud del tratamiento
  • Condiciones para el consentimiento
Se reclama la publicación de fotos y videos en web, youtube y redes sociales de un hijo menor de edad del reclamante, sin su consentimiento como titular de la patria potestad.
Tras un periodo de actuaciones previas de investigación, se constató que los modelos actuales de documentos para el consentimiento solo permiten otorgarlo para todas las finalidades o para ninguna lo cual supone una vulneración de los requisitos para el consentimiento válido que da lugar a una vulneración del artículo 6 del RGPD al estar viciado la validez del consentimiento recogido. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR la INFRACCIÓN responsabilidad de la Dirección General de Planificación, Centros y Enseñanza Concertada de la Consejería de Desarrollo Educativo y Formación Profesional por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración sustancial del articulo 6 del RGPD referido a la legitimidad del tratamiento en relación con el hecho de que el consentimiento para el tratamiento de imagen para fines no educativos no se otorga “para uno o varios fines específicos”.
Como medida adicional se propone ordenar al órgano incoado que remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de que el modelo de autorización del uso de imágenes incluye específicamente y de forma separada a la finalidad de “Redes Sociales” específicamente la difusión de imágenes y vídeos entre los progenitores y representantes legales del alumnado del mismo grupo y de que se ha eliminado del mismo la segunda petición de autorización en el apartado de firma u otra medida equivalente que garantice que el consentimiento es inequívoco para cada una de las finalidades.
DECLARACIÓN DE INFRACCIÓN JUNTA DE ANDALUCÍA CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL Ver
RPS-2024/020 18/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la divulgación de datos de carácter personal contenidos en una denuncia de tráfico de la Policía Local.
Tras un periodo de actuaciones previas de investigación, no quedó acreditado que los agentes municipales que utilizaban los dispositivos electrónicos personales emisores de sanciones (PDA), en la fecha de los hechos, tuvieran conocimiento, mediante instrucciones o recomendaciones, de las consecuencias que, en materia de protección de datos personales, podrían conllevar la utilización de dichos dispositivos y las distintas formas de emisión de los boletines de denuncia. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de la Línea de la Concepción por la comisión de la infracción tipificada en el articulo 83.4.a) del RGPD por vulneración del articulo 32.1 del RGPD.
Como medida adicional se propone ordenar al órgano incoado para que informe al Consejo en el plazo de un mes desde la notificación de la resolución, sobre la implantación y desarrollo de instrucciones o recomendaciones a los agentes municipales de las consecuencias que, en materia de protección de datos personales, podrían conllevar la utilización de dispositivos electrónicos personales emisores de sanciones (PDA) y las distintas formas de emisión de los boletines de denuncia, así como acreditación de las medidas técnicas y organizativas adoptadas para evitar errores como el denunciado.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE LA LÍNEA DE LA CONCEPCIÓN Ver
RPS-2024/022 24/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Constantina, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Constantina no realizó el nombramiento de un Delegado de Protección de datos, y es por eso por lo que se inició procedimiento sancionador.
Sin embargo, de la documentación que obra en el expediente, se constató que, el Ayuntamiento de Constantina ya había designado, el 18 de diciembre de 2023, una persona que ejerciera las funciones del Delegado de Protección de Datos; designación que comunicó a esta autoridad de control el 13 de junio de 2024, es decir, el mismo día de la firma del acuerdo de inicio del procedimiento sancionador.
Por ello, se declara el ARCHIVO del procedimiento sancionador y, consiguientemente, la terminación del procedimiento, como consecuencia de haberse constatado la inexistencia de los hechos que constituían la infracción en el momento de dictarse el acuerdo de inicio, en la medida en que el Ayuntamiento de Constantina había dado cumplimiento a la necesaria designación de un Delegado de Protección de Datos en el momento de inicio del mismo.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CONSTANTINA Ver
RPS-2024/024 27/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el acceso indebido por vía electrónica al Registro General del Ayuntamiento de Linares, procediéndose a visualizar y a descargar multitud de escritos, de datos, y de documentos relacionados con terceros, personas físicas y jurídicas y departamentos del Ayuntamiento y órganos de la Administración, partidos políticos, etc., excediéndose de las limitaciones para la que estaba autorizado y sin tener autorización para ello.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Linares, por la comisión de la infracción tipificada en el artículo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD referido al principio de confidencialidad en relación con la divulgación indebida de datos a terceros, así como por la infracción tipificada en el articulo 83.4.a) del RGPD por vulneración del articulo 32 del RGPD referido a la seguridad del tratamiento en relación con la ausencia de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales.
Como medida adicional se propone ordenar al órgano incoado para que remita al Consejo, en el plazo máximo de un mes tras la notificación de la resolución, la documentación acreditativa de la puesta en marcha de actuaciones para evitar que se produzcan situaciones como la que ha dado origen a la
reclamación que da origen al procedimiento sancionador.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE LINARES Ver