Nº de Registros encontrados: 113

Mostrando del 1 al 15

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Ordenar ascendente Fecha Tipológia Ley Art Párrafo Resumen Sentido Ámbito Órgano Ficha
RPS-9/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación por acceso inadecuado a historia clínica. El Servicio Andaluz de Salud (SAS), tras recibir la reclamación, abre un procedimiento interno que le lleva a abrir 4 expedientes disciplinarios; en tres se concluía que los accesos eran correctos, pero el cuarto no finalizó, por lo que no se terminó de acreditar la validez de todos los accesos, considerándose que ha existido una infracción en relación al artículo 32.1 RGPD por el no funcionamiento adecuado de las medidas de seguridad establecidas.
Se dirige un APERCIBIMIENTO al responsable del tratamiento, sin medidas adicionales, dado que existe constancia de información al personal en la materia, de la existencia de medidas de seguridad y además se abrieron los expedientes disciplinarios correspondientes.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-8/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación por la publicación en Internet de un listado de personas por parte del Ayuntamiento de Málaga, incluyendo nombre y DNI completos, incumpliendo la DA 7ª LOPDGDD en relación con la identificación de interesados en notificaciones por medio de anuncios y publicaciones de actos administrativos. El Ayuntamiento detecta rápidamente el error y lo corrige.
En la instrucción del procedimiento se ha acreditado la existencia de medidas previas en relación con el cumplimiento de la normativa de protección de datos, en este caso relacionadas con la necesaria información al personal sobre la publicación de este tipo de listados, y se propone el sobreseimiento dado que se considera que ha existido ha sido un error puntual subsanado de forma inmediata.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE MÁLAGA Ver
RPS-7/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • RGPD
  • 12
  • 13
  • Vulneración en relación a “la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado”
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
Se trata de una denuncia en relación con la cumplimentación de un formulario web relativo al Boletín Oficial de la Provincia de Cádiz. La gestión de la publicación y suscripciones del boletín la tiene contratada la Diputación Provincial con la Asociación de la Prensa de Cádiz. Aunque la página web del Boletín tiene la misma imagen que la de la Diputación, y se enlaza desde esta, hay un formulario de contacto que no coincide con el formulario de contacto que se ofrece en la página principal: se informa de un responsable distinto y de unas finalidades distintas; pero esta información que se ofrece contradice además el apartado sobre protección de datos que aparece en el "Aviso Legal" accesible a pie de página.
En el transcurso del procedimiento, el responsable subsana bastantes elementos que figuraban de forma incorrecta o se omitían, pero no lo hace de forma completa.
Se sanciona con un APERCIBIMIENTO por una infracción leve motivada por la falta de transparencia en la información a los usuarios en relación con el tratamiento así como de no informar de todas las cuestiones a que hacer referencia el artículo 13 RGPD; como medida adicional se insta a terminar de ajustar adecuadamente la información.
APERCIBIMIENTO ENTIDADES LOCALES DIPUTACIÓN PROVINCIAL DE CÁDIZ Ver
RPS-6/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento
Se denuncia, por noticias aparecidas en prensa, que el Ayuntamiento de Jaén anuncia un convenio con una empresa para 'adecentar' locales y ordenar documentación responsabilidad del Ayuntamiento. La persona reclamante considera que la empresa podría estar accediendo sin las debidas garantías a dicha documentación, vulnerándose por tanto lo establecido en la normativa de protección de datos.
En la instrucción del procedimiento no se llega a constatar, en relación con el convenio anunciado, que realmente se realizaran los trabajos. Al no constatarse la existencia de un tercero encomendado por el Ayuntamiento para hacer los trabajos, ni que esos trabajos se hubieran hecho, se considera que ha de archivarse el expediente sancionador.
No obstante, sí se ha constatado la absoluta falta de colaboración del Ayuntamiento en la resolución del procedimiento al no remitir al Consejo ninguna información ni documentación solicitadas. Consecuencia de ello, la resolución ordena el inicio de un expediente para iniciar un posible expediente sancionador contra el Ayuntamiento por falta de colaboración con la autoridad de control.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE JAÉN Ver
RPS-5/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
La reclamación se realiza porque se ha recibido un expediente del juzgado, remitido a este desde el Servicio Andaluz de Salud (SAS), en el que, por error, se incluyen varias hojas de otro expediente, revelando datos personales de terceros.
Aunque se trata de un error puntual, no se termina de acreditar la existencia de medidas de seguridad formalmente establecidas en el procedimiento de remisión de la documentación al juzgado, si bien la incidencia es resuelta en cuanto se tiene conocimiento de la misma; se aporta información sobre las medidas a tomar en el futuro, pero sin que se acredite su implantación.
Se considera una infracción de artículo 32.1 RGPD (adopción de medidas para garantizar confidencialidad y disponibilidad) y sanciona con APERCIBIMIENTO, con la única medida adicional de que se acredite la puesta en marcha de las medidas que se decidió implantar.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-4/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama porque desde un órgano territorial de la Consejería de Educación y Deporte se remite un certificado de estudios de modo que, a través del código seguro de verificación (CSV) de la firma electrónica del documento es posible acceder a datos personales no solo de la persona que recibía el certificado, sino de todas aquellas que figuraban en el documento que se había firmado conjuntamente. Desde la Consejería se indica, aportando el Registro de Actividades de Tratamiento, que el responsable del correspondiente tratamiento es la Dirección General de Ordenación y Evaluación Educativa. No obstante, una vez iniciado el procedimiento sancionador contra el mencionado centro directivo por la vulneración del artículo 32.1 RGPD por la falta de aplicación de adecuadas medidas técnicas y organizativas, se llega a constatar, dado que desde la Consejería se modifica el criterio en relación con la responsabilidad de la operación de tratamiento objeto de la infracción, que la responsabilidad sobre la infracción cometida recaía en el órgano provincial.
Se sobresee el expediente contra la Dirección General y no cabe iniciar nuevo expediente contra el órgano provincial por la prescripción de la infracción.
No obstante, en la resolución se insta a la Consejería de Educación y Deporte a que determine claramente en su Registro de Actividades de Tratamiento quién o quiénes son los responsables de la operación de tratamiento que supone la certificación de los estudios realizados y en qué tratamiento o tratamientos está incluida dicha operación.
ARCHIVO JUNTA DE ANDALUCÍA CONSEJERÍA DE EDUCACIÓN Y DEPORTE Ver
RPS-36/2022 28/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
Se reclama la publicación por parte del Ayuntamiento de Ubrique en Facebook de datos personales de menores sin previa autorización ni comunicación.
El Ayuntamiento alega que es Facebook el que trata los datos y que por tanto, no cabe imputar las responsabilidades del art. 13 del RGPD al Ayuntamiento sino a la citada red social. Asimismo, afirma que el órgano reclamado decidió tomar como soporte del concurso de dibujos a la Red Social Facebook precisamente para evitar ningún tipo de operación con los datos personales de quienes participasen.
Sin embargo, entiende este Consejo que el Ayuntamiento de Ubrique es quien organizó el concurso, lo convocó y estableció las bases del mismo y, por tanto, quien determinó los fines y medios del tratamiento siendo, por tanto, responsable del tratamiento de los datos personales de los menores que participaron en el concurso de dibujos infantil, con independencia de la ubicación de dichos datos y de la voluntariedad con que los mismos se aportaron al concurso y quien debió informar del tratamiento de los datos.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Ubrique,por infracción del artículo 13 RGPD, tipificada en el artículo 83.5.b) RGPD. Como medida adicional, se insta al Ayuntamiento a analizar los tratamientos que pueda llevar a cabo en relación con la participación de la ciudadanía a través de redes sociales, y los incluya en el correspondiente Registro de Actividades de Tratamiento, estableciendo además el procedimiento de información a los interesados.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE UBRIQUE Ver
RPS-35/2022 28/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que el Comité de Empresa de la Agencia Andaluza del Conocimiento ha enviado un correo dirigido a un grupo de sus trabajadores, incluyendo como documento adjunto una tabla con indicación detallada del salario de cada trabajador, junto con sus nombres y apellidos.
Se requirió al órgano reclamado para que aportara Información sobre las medidas de seguridad, normas, procedimientos o reglas implementadas por el comité de empresa, sobre los protocolos o las instrucciones impartidas en relación con la publicación de datos personales o evidencias sobre el conocimiento por parte de los miembros del comité sobre las condiciones y limitaciones a que está sometido el acceso a datos personales, así como detalle de las medidas adoptadas para evitar posibles incidencias similares en el futuro. En este aspecto, no se acreditó la existencia de la implantación de medidas previas a los efectos de evitar la comunicación de datos efectuada, si bien quedaron acreditadas las actuaciones realizadas a posteriori.
Por ello, se dirige un APERCIBIMIENTO al Comité de Empresa de la Agencia Andaluza del Conocimiento, por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD, sin imposición de medidas adicionales, por ya haberlas puesto en marcha el mencionado Comité de Empresa.
APERCIBIMIENTO JUNTA DE ANDALUCÍA AGENCIA ANDALUZA DEL CONOCIMIENTO Ver
RPS-34/2022 27/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.c)
  • 35
  • Vulneración del principio de “minimización de datos”
  • Evaluación de impacto relativa a la protección de datos
Se reclama contra una plataforma de gestión utilizada en la Consejería de Consejería de Igualdad, Políticas Sociales y Conciliación, por diversos incumplimientos de la normativa de protección de datos personales. Con posterioridad a la denuncia, y tras los requerimientos realizados, el responsable realizó una evaluación de impacto y suprimió del tratamiento los datos que consideraba excesivos para el mismo.
Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador porque, en el momento de la interposición de la denuncia, se considera, por una parte, que no se aplicó adecuadamente el principio de minimización, al incorporarse al sistema y requerirse su grabación a los centros colaboradores, un número excesivo de datos en relación con las finalidades del tratamiento; por otra, no se había realizado una evaluación de impacto en relación con la protección de datos de acuerdo con lo requerido por la normativa, a pesar de que la naturaleza del tratamiento lo requería, y no siendo aplicable la excepción de que ya existía una evaluación para tratamientos similares.
El procedimiento concluye en un APERCIBIMIENTO, si bien no se dictan medidas específicas en relación con los hechos reclamados, ya que el órgano las puso en marcha previamente; no obstante, se insta a informar al Consejo sobre las actuaciones llevadas a cabo, así como a que se actualice en el inventario de actividades de tratamiento la información relativa al órgano responsable del tratamiento objeto de la reclamación, dado que hace referencia a una Secretaría General inexistente en la nueva estructura de la Consejería.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN Ver
RPS-33/2022 13/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 29
  • 32.1
  • Vulneración en relación al "Tratamiento bajo la autoridad del responsable o del encargado del tratamiento"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el acceso indebido a la historia clínica de la persona reclamante desde un Centro de Salud distinto al que tiene asignado. Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador por posible incumplimiento tanto del artículo 29 RGPD, por acceso indebido de personal a la historia clínica de la persona reclamante, como del artículo 32.1 RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para evitar los accesos indebidos a la historia clínica de la persona reclamante, al haberse detectado la existencia de un posible acceso indebido por parte de un profesional de enfermería.
Alega el órgano reclamado que mientras no se haya resuelto el expediente disciplinario que aclare los motivos por los cuales se produjeron los accesos a la historia clínica de la persona reclamante por parte del profesional de ese Centro de Salud, no puede acreditarse que el acceso por parte de este profesional sea constitutivo de infracción. Alega además que el acceso a la historia clínica de un paciente desde un centro distinto al que este tiene asignado, no implica necesariamente una infracción ya que la consulta a dicho historial médico podría tener lugar, entre otros motivos, desde otro centro por el profesional que ya le atendió previamente.
Ante dicho argumento, el Consejo en ningún momento se cuestiona dicha circunstancia que, evidentemente, responde a la necesidad de garantizar la atención de las personas usuarias del Servicio Andaluz de Salud desde cualquier lugar y, por ende, su derecho a la salud. Sin embargo, hasta la fecha de la Resolución, no se facilitaron a este organismo las razones concretas que justifican el acceso a la historia clínica de la persona reclamante desde el ese Centro de Salud, ni se ha acreditado la existencia de medidas técnicas u organizativas en el mismo que impidan que puedan producirse accesos indebidos.
Por consiguiente, se dirige un APERCIBIMIENTO a la Dirección General de Asistencia Sanitaria y Resultados en Salud (Servicio Andaluz de Salud), por infracción de los artículos 29 y 32.1 RGPD, tipificadas en el artículo 83.4 RGPD, en relación con el acceso indebido de personal a la historia clínica de la reclamante, y la falta de aplicación de medidas técnicas y organizativas apropiadas para evitarlo.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-32/2022 18/11/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 58.1
  • Falta de colaboración con la Autoridad de Control en sus poderes de investigación
Se dirige un apercibimiento al Ayuntamiento de Jaén por infracción del artículo 58.1 RGPD, tipificada en el artículo 83.5.e) RGPD por falta de colaboración con este Consejo. APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE JAÉN Ver
RPS-31/2022 18/11/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que que el listado con los nombres, apellidos, DNI y puntuación de las personas participantes en un proceso de selección del Ayuntamiento de Torrox se difundió a través de la aplicación WhatsApp. Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador porque, en el momento en que ocurren los hechos objeto de la reclamación no existen en el mencionado Ayuntamiento medidas de seguridad, normas, procedimientos o reglas sobre el modo en que se publican los datos personales tratados.
Entre otras cuestiones, alega el órgano reclamado, que en la fecha en que ocurrieron los hecho el Ayuntamiento ya había adoptado una serie de medidas tendentes a garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta los criterios establecidos en el artículo 32 RGPD. Sin embargo, entiende este Consejo que las medidas son de carácter general en relación con la seguridad y la normativa de protección de datos pero no aportan evidencias de la existencia de medidas concretas y de análisis de riesgos aplicados al caso concreto.
Por consiguiente, se dirige un APERCIBIMIENTO al Ayuntamiento de Torrox, por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE TORROX Ver
RPS-30/2022 10/10/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Un profesional médico de la Delegación Territorial de Educación y Deportes, Igualdad, Políticas Sociales y Conciliación en Cádiz reclama contra ésta que se ha jubilado pero le siguen llegando correos de personas que dependen de la Delegación Territorial y que le aportan información médica.
El problema es que se estaba utilizando en el sistema de gestión la cuenta de correo corporativa del reclamante como cuenta desde la que se enviaban mensajes de la Asesoría Médica a las personas usuarias, lo que originaba que algunas de estas personas, al responder, lo hicieran a la cuenta desde la que se había remitido el mensaje (la cuenta del reclamante), exponiendo circunstancias médicas particulares.
En sus alegaciones, la Delegación Territorial señala, entre otras cuestiones, que no sería el órgano responsable de la comisión de la infracción. Sin embargo, entiende el Consejo que la Delegación Territorial simultáneamente a la comunicación de la jubilación del reclamante a los efectos del posible mantenimiento de su cuenta de correo, debió también gestionar que dicha cuenta de correo corporativa dejara de figurar en el sistema como la cuenta asociada a la Asesoría Médica, de modo que los mensajes a las personas afectadas no fueran remitidos desde la misma, con independencia de quien realizara efectivamente la citada operatoria.
Por consiguiente, se dirige un APERCIBIMIENTO a la Delegación Territorial de Educación y Deporte en Cádiz, actualmente Delegación Territorial de Desarrollo Educativo y Formación Profesional y de Universidad, Investigación e Innovación en Cádiz (adscrita orgánicamente a la Consejería de Desarrollo Educativo y Formación Profesional) por no haber aplicado las medidas técnicas y organizativas
apropiadas para garantizar la confidencialidad de los datos.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE EDUCACIÓN Y DEPORTE Ver
RPS-3/2022 04/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • RGPD
  • 5.1.c)
  • 5.1.f)
  • Vulneración del principio de “minimización de datos”
  • Vulneración del principio de “integridad y confidencialidad"
Se reclama contra el Ayuntamiento de Jaén por haberse publicado, sin ocultar el código seguro de verificación (CSV), copia de un documento correspondiente a la declaración de renta de una Concejal, lo que permitía el acceso al contenido del documento completo e íntegro por parte de terceros haciendo uso del mencionado CSV.
Se considera que se han infringido los principio de "minimización" y de "confidencialidad e integridad", al no disponerse de las medidas técnicas y organizativas adecuadas para evitar que se pudiera acceder al contenido íntegro del documentos por parte de terceros, y con ello, a datos personales que no habían de ser publicados. En consecuencia, se dirige un APERCIBIMIENTO a Ayuntamiento, y se le insta a que tome las medidas para evitar dicha circunstancia en el futuro.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE JAÉN Ver
RPS-29/2022 10/10/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • Información que deberá facilitarse cuando los datos personales se obtengan del interesado
El procedimiento sancionador se incoa de oficio, tras la existencia de una reclamación que denuncia que en la convocatoria de la consulta popular para el cambio de denominación del estadio de fútbol de Cádiz se han incumplido preceptos de la normativa de protección de datos en relación, fundamentalmente, con la legitimidad del proceso, el consentimiento de los participantes, el tratamiento de datos de menores y la información sobre protección de datos a los participantes.
Tras un periodo de actuaciones previas de investigación, se concluye que no necesariamente ha de ser el consentimiento la condición que legitima el tratamiento, sino el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, toda vez que la Ley Reguladora de Bases de Régimen Local habilita facilitar la participación ciudadana en la toma de decisiones; en relación a los menores, dado que no iba dirigida a ellos la consulta y que se habilitaron medios para no proceder al tratamiento de sus datos, se considera que no ha lugar a considerar la necesidad de contar con su consentimiento o el de sus progenitores. Sí se detectaron carencias en lo que se refiere a la información a aportar a los interesados, exigida por el artículo 13 RGPD, y es por eso por lo que se inició procedimiento sancionador, proponiendo el apercibimiento por una infracción del RGPD relativa a la omisión del deber de informar, calificada como muy grave, a efectos de prescripción, en la LOPDGDD.
No obstante en sus alegaciones, el Ayuntamiento acredita que sí había informado sobre el tratamiento a los interesados, si bien de forma incompleta, cuestión que subsanó posteriormente. Teniendo en cuenta en la instrucción del procedimiento dichas alegaciones y comprobado lo manifestado por el ayuntamiento, puede concluirse que la infracción cometida no fue la omisión de deber de informar sino que la información ofrecida no era completa en relación con lo exigido por el artículo 13 RGPD; así, la infracción pasa de tener carácter muy grave (3 años de prescripción), a considerarse leve a efectos de prescripción, de acuerdo con el articulo 74.a) LOPDGDD, y por lo tanto el periodo de prescripción es de un año.
Dado que el ayuntamiento subsanó además la falta de información, en el momento de iniciar el expediente sancionador ya había cumplido el periodo de prescripción, por lo que no cabría imponer la sanción de apercibimiento, dictándose pues el archivo de las actuaciones.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CÁDIZ Ver