Nº de Registros encontrados: 114

Mostrando del 91 al 105

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ordenar descendente Ley Art Párrafo Resumen Sentido Ámbito Órgano Ficha
RPS-22/2022 07/06/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Varias personas reclaman que desde la Secretaría General Técnica de la Cj. de Igualdad, Políticas Sociales y Conciliación, se remite un correo conjunto a cuatro centrales sindicales adjuntando los datos de todos los liberados sindicales de estos sindicatos que se incorporan al trabajo, dando así acceso al personal de cada uno de los sindicatos que manejaran el correspondiente correo genérico al que se envió el listado a los datos de los liberados sindicales del resto de sindicatos; entre estos datos los hay identificativos, laborales y motivos de incorporación o no al puesto de trabajo. Desde la Consejería se envía un correo posterior separado a cada sindicato, con los datos solo de sus afiliados y con el ruego de borrado del correo anterior.
Se considera que el responsable del tratamiento reclamado no ha aplicado las adecuadas medidas de seguridad al remitir los correos y se le dirige un APERCIBIMIENTO, si bien no se incluyen medidas adicionales por ya haberlas tomado el organismo.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN Ver
RPS-19/2022 25/05/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • 37
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
  • Falta la designación del delegado de protección de datos (DPD)
Se denuncia la falta de información al interesado en determinados formularios de la página web del Ayuntamiento de Cádiz, así como la falta de nombramiento del DPD. Se comprueba en las actuaciones que, efectivamente, determinados formularios carecen de la información al interesado y además, que el ayuntamiento no cuenta con DPD en la fecha de la denuncia, y además, no lo nombra hasta varios meses después de haberle comunicado la misma.
Se considera que órgano reclamado ha incumplido obligaciones en relación con la información a los interesados así como respecto al nombramiento de DPD, por lo que se le dirige un APERCIBIMIENTO. No se incluyen medidas adicionales, porque, en el transcurso del procedimiento ya se nombró DPD y se realizaron las adaptaciones necesarias en la página web.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE CÁDIZ Ver
RPS-21/2022 21/06/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.d)
  • Vulneración del principio de “exactitud”
Una persona reclama porque considera que se le ha embargado erróneamente por un impago de la tasa de alcantarillado. En realidad, la vivienda sobre la que se le reclama la tasa no es suya, sino de una persona que se llama como ella y -en algún momento- se asoció por error el DNI de la persona reclamante a la vivienda cuya tasa se reclamaba. La persona denunció el error al Ayuntamiento en 2016, pero hasta el año 2021 (5 años después) no se llega a corregir (y a devolver el dinero). Se considera que el Ayuntamiento de Estepona ha infringido el principio de 'exactitud' establecido en el artículo 5.1.d) RGPD, y se dirige un APERCIBIMIENTO por la dilación indebida en la rectificación de los datos; no se establecen medidas adicionales por haberlas ya tomado el órgano infractor. APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE ESTEPONA Ver
RPS-23/2022 30/06/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que la Entidad Urbanística de Conservación Sanlúcar Club de Campo ha distribuido entre sus miembros un documento en el que figuran datos personales del reclamante y, aunque aparecen 'tachados' en el texto del documento, se mantiene el código seguro de verificación (CSV), lo que permite la consulta completa del documento por cualquiera que verifique el mismo, y por tanto el acceso a los datos del reclamante. Se considera que el responsable del tratamiento reclamado ha incumplido con la obligación de dotar al tratamiento de las adecuadas medidas de seguridad (infracción del artículo 32.1 RGPD), y se le dirige un APERCIBIMIENTO.
No se incluyen medidas adicionales, porque la entidad llegó a eliminar la posibilidad de acceso al documento y tomó medidas para minimizar la causa del error en el futuro.
APERCIBIMIENTO ENTIDADES LOCALES ENTIDAD URBANÍSTICA DE CONSERVACIÓN SANLÚCAR CLUB DE CAMPO Ver
RPS-24/2022 13/06/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.c)
  • 5.1.f)
  • Vulneración del principio de “minimización de datos”
  • Vulneración del principio de “integridad y confidencialidad"
Una persona reclama que una resolución que le afectaba fue publicada en la web del ayuntamiento de Sanlúcar de Barrameda (tablón edictal), incluyendo su DNI completo y su domicilio. Se constata que dicha información se mantiene publicada cuando se recibe la reclamación y tampoco el ayuntamiento procede a la rectificación de los datos cuando se le remite inicialmente la reclamación y ni siquiera contesta al requerimiento del Consejo. Solo una vez admitida la reclamación, en el marco de las actuaciones previas de investigación, el ayuntamiento resuelve sustituir la resolución publicada. Se considera que el Ayuntamiento ha incumplido los principios de minimización y confidencialidad establecidos en el artículo 5 RGPD y, en consecuencia, se le dirige un APERCIBIMIENTO.
No se incluyen medidas adicionales, porque la entidad subsanó la publicación errónea y tomó medidas para minimizar la posibilidad de que ocurran hechos similares en el futuro
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE SANLÚCAR DE BARRAMEDA Ver
RPS-25/2022 30/06/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32.1
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Una persona denuncia que un cuadrante suyo de turnos de trabajo se ha filtrado desde el Ayuntamiento de Sanlúcar la Mayor a una tercera persona, que lo ha aportado en un proceso judicial. Dado que la 'filtración' se constata que se ha producido y dada la no evidencia de la implantación de medidas de seguridad en relación con el tratamiento, se dirige un APERCIBIMIENTO contra el ayuntamiento por vulneración del principio de confidencialidad [art. 5.1.f) RGPD] y la falta de medidas de seguridad (art. 32.1 RGPD).
Además se le insta a la aplicación de medidas de seguridad y a la publicación del inventario del RAT que, a lo largo del procedimiento, se ha constatado que no se ha producido.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE SANLÚCAR LA MAYOR Ver
RPS-27/2022 22/07/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • Vulneración del principio de “integridad y confidencialidad"
En este caso la persona reclamante denuncia accesos indebidos a su historia clínica entre determinadas fechas. El Servicio Andaluz de Salud, ante el requerimiento del Consejo no llega a acreditar la vinculación entre las personas que acceden a la HC y la asistencia sanitaria a la reclamante, por lo que se propone el inicio del procedimiento por vulneración del principio de confidencialidad. Tras la correspondiente instrucción, se siguen sin acreditar los accesos, por lo que se dirige un APERCIBIMIENTO a la Dirección General de Asistencia Sanitaria y Resultados en Salud por vulneración del principio de confidencialidad [artículo 5.1.f) RGPD].
Además, como medida adicional, se insta a acreditar definitivamente que los accesos se producen por motivo asistencial o a iniciar actuaciones disciplinarias contra las personas que realizaron los accesos incorrectos.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-26/2022 27/07/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
En el Ayuntamiento de Pulianas, en una comisión, uno de los miembros asistentes abre un debate sobre datos de salud de otro de los miembros asistentes, y consta en acta todo el debate. Al no quedar acreditado que en el momento en que se celebró la comisión el personal tuviera información sobre el tratamiento de datos personales, se propuso el inicio del procedimiento por falta de las medidas técnicas y organizativas adecuadas, si bien, posteriormente, a lo largo del procedimiento ha acreditado la puesta en marcha de dichas medidas.
Dado que, en su momento no se habían tomado las medidas adecuadas, se dirige un apercibimiento al Ayuntamiento, pero no se insta a la aplicación de medidas adicionales porque el mismo ya las ha tomado.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE PULIANAS Ver
RPS-29/2022 10/10/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • Información que deberá facilitarse cuando los datos personales se obtengan del interesado
El procedimiento sancionador se incoa de oficio, tras la existencia de una reclamación que denuncia que en la convocatoria de la consulta popular para el cambio de denominación del estadio de fútbol de Cádiz se han incumplido preceptos de la normativa de protección de datos en relación, fundamentalmente, con la legitimidad del proceso, el consentimiento de los participantes, el tratamiento de datos de menores y la información sobre protección de datos a los participantes.
Tras un periodo de actuaciones previas de investigación, se concluye que no necesariamente ha de ser el consentimiento la condición que legitima el tratamiento, sino el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, toda vez que la Ley Reguladora de Bases de Régimen Local habilita facilitar la participación ciudadana en la toma de decisiones; en relación a los menores, dado que no iba dirigida a ellos la consulta y que se habilitaron medios para no proceder al tratamiento de sus datos, se considera que no ha lugar a considerar la necesidad de contar con su consentimiento o el de sus progenitores. Sí se detectaron carencias en lo que se refiere a la información a aportar a los interesados, exigida por el artículo 13 RGPD, y es por eso por lo que se inició procedimiento sancionador, proponiendo el apercibimiento por una infracción del RGPD relativa a la omisión del deber de informar, calificada como muy grave, a efectos de prescripción, en la LOPDGDD.
No obstante en sus alegaciones, el Ayuntamiento acredita que sí había informado sobre el tratamiento a los interesados, si bien de forma incompleta, cuestión que subsanó posteriormente. Teniendo en cuenta en la instrucción del procedimiento dichas alegaciones y comprobado lo manifestado por el ayuntamiento, puede concluirse que la infracción cometida no fue la omisión de deber de informar sino que la información ofrecida no era completa en relación con lo exigido por el artículo 13 RGPD; así, la infracción pasa de tener carácter muy grave (3 años de prescripción), a considerarse leve a efectos de prescripción, de acuerdo con el articulo 74.a) LOPDGDD, y por lo tanto el periodo de prescripción es de un año.
Dado que el ayuntamiento subsanó además la falta de información, en el momento de iniciar el expediente sancionador ya había cumplido el periodo de prescripción, por lo que no cabría imponer la sanción de apercibimiento, dictándose pues el archivo de las actuaciones.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CÁDIZ Ver
RPS-34/2022 27/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.c)
  • 35
  • Vulneración del principio de “minimización de datos”
  • Evaluación de impacto relativa a la protección de datos
Se reclama contra una plataforma de gestión utilizada en la Consejería de Consejería de Igualdad, Políticas Sociales y Conciliación, por diversos incumplimientos de la normativa de protección de datos personales. Con posterioridad a la denuncia, y tras los requerimientos realizados, el responsable realizó una evaluación de impacto y suprimió del tratamiento los datos que consideraba excesivos para el mismo.
Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador porque, en el momento de la interposición de la denuncia, se considera, por una parte, que no se aplicó adecuadamente el principio de minimización, al incorporarse al sistema y requerirse su grabación a los centros colaboradores, un número excesivo de datos en relación con las finalidades del tratamiento; por otra, no se había realizado una evaluación de impacto en relación con la protección de datos de acuerdo con lo requerido por la normativa, a pesar de que la naturaleza del tratamiento lo requería, y no siendo aplicable la excepción de que ya existía una evaluación para tratamientos similares.
El procedimiento concluye en un APERCIBIMIENTO, si bien no se dictan medidas específicas en relación con los hechos reclamados, ya que el órgano las puso en marcha previamente; no obstante, se insta a informar al Consejo sobre las actuaciones llevadas a cabo, así como a que se actualice en el inventario de actividades de tratamiento la información relativa al órgano responsable del tratamiento objeto de la reclamación, dado que hace referencia a una Secretaría General inexistente en la nueva estructura de la Consejería.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN Ver
RPS-2023/001 10/01/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 6
  • Licitud del tratamiento
El reclamante denuncia que por parte del Ayuntamiento de Jerez le han sido facilitados datos relativos a una deuda correspondiente a su mujer (con la que está casado en régimen de separación de bienes) y que le fue iniciado un procedimiento de embargo de su pensión como consecuencia de dicha deuda. La esposa denuncia unos hechos similares y su reclamación se incorpora al procedimiento.
El Ayuntamiento alega la presunción de ganancialidad que establece el artículo 1361 del Código Civil, a los efectos de imputar la deuda al reclamante. Se considera desde el Consejo que existen medios a disposición del Ayuntamiento (como, por ejemplo la consulta del Registro Civil) para conocer el régimen matrimonial de una pareja y que el principio de responsabilidad proactiva obliga a tomar medidas para garantizar el cumplimiento de la normativa de protección de datos; si no se realiza así, el comportamiento del ayuntamiento en estos casos es un factor de riesgo dicho cumplimiento y facilitaría la inadecuada comunicación de datos personales.
El Ayuntamiento, en cuanto tuvo conocimiento del régimen de separación de bienes, canceló el embargo, y además, estableció un protocolo de actuación para evitar que se produzcan situaciones similares. El procedimiento concluye con un APERCIBIMIENTO por falta de legitimidad en las operaciones de tratamiento realizadas, aunque no se proponen medidas adicionales, por ya haberlas puesta en marcha el órgano incoado.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE JEREZ DE LA FRONTERA Ver
RPS-2023/002 23/01/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación contra la Escuela de Arte de Sevilla (Consejería de Educación y Desarrollo Educativo) en relación con la divulgación de un documento entre todos los profesores del claustro que la persona reclamante había enviado para realizar observaciones a un acta. En dicho documento se incluían datos personales de la misma como el domicilio. Aunque el centro argumenta la seguridad del sistema de mensajería utilizado (Séneca), desde el Consejo se hace mención a que no se pone en duda dicha seguridad, sino el contenido que puedan o no incluir los documentos que se remitan a partir de él.
Se considera que no se disponía de medidas adecuadas para que el personal conociera cómo debía remitirse la documentación (ocultando datos no necesarios) y se dicta el APERCIBIMIENTO por vulneración del artículo 31.2 del RGPD, en relación con la inexistencia de las mencionadas medidas. No se incluyen en la resolución otras medidas a llevar a cabo por parte del centro, dado que en transcurso del procedimiento, la Escuela implanta medidas específicas para indicar cómo han de remitirse los documentos, si bien al detectarse una falta de actualización en el inventario de actividades de tratamiento, se insta a la Consejería a realizar dicha actualización.
APERCIBIMIENTO JUNTA DE ANDALUCÍA ESCUELA DE ARTE DE SEVILLA (CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL) Ver
RPS-30/2022 10/10/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Un profesional médico de la Delegación Territorial de Educación y Deportes, Igualdad, Políticas Sociales y Conciliación en Cádiz reclama contra ésta que se ha jubilado pero le siguen llegando correos de personas que dependen de la Delegación Territorial y que le aportan información médica.
El problema es que se estaba utilizando en el sistema de gestión la cuenta de correo corporativa del reclamante como cuenta desde la que se enviaban mensajes de la Asesoría Médica a las personas usuarias, lo que originaba que algunas de estas personas, al responder, lo hicieran a la cuenta desde la que se había remitido el mensaje (la cuenta del reclamante), exponiendo circunstancias médicas particulares.
En sus alegaciones, la Delegación Territorial señala, entre otras cuestiones, que no sería el órgano responsable de la comisión de la infracción. Sin embargo, entiende el Consejo que la Delegación Territorial simultáneamente a la comunicación de la jubilación del reclamante a los efectos del posible mantenimiento de su cuenta de correo, debió también gestionar que dicha cuenta de correo corporativa dejara de figurar en el sistema como la cuenta asociada a la Asesoría Médica, de modo que los mensajes a las personas afectadas no fueran remitidos desde la misma, con independencia de quien realizara efectivamente la citada operatoria.
Por consiguiente, se dirige un APERCIBIMIENTO a la Delegación Territorial de Educación y Deporte en Cádiz, actualmente Delegación Territorial de Desarrollo Educativo y Formación Profesional y de Universidad, Investigación e Innovación en Cádiz (adscrita orgánicamente a la Consejería de Desarrollo Educativo y Formación Profesional) por no haber aplicado las medidas técnicas y organizativas
apropiadas para garantizar la confidencialidad de los datos.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE EDUCACIÓN Y DEPORTE Ver
RPS-28/2022 07/09/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Ver RPS-30/2022 Ver
RPS-31/2022 18/11/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que que el listado con los nombres, apellidos, DNI y puntuación de las personas participantes en un proceso de selección del Ayuntamiento de Torrox se difundió a través de la aplicación WhatsApp. Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador porque, en el momento en que ocurren los hechos objeto de la reclamación no existen en el mencionado Ayuntamiento medidas de seguridad, normas, procedimientos o reglas sobre el modo en que se publican los datos personales tratados.
Entre otras cuestiones, alega el órgano reclamado, que en la fecha en que ocurrieron los hecho el Ayuntamiento ya había adoptado una serie de medidas tendentes a garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta los criterios establecidos en el artículo 32 RGPD. Sin embargo, entiende este Consejo que las medidas son de carácter general en relación con la seguridad y la normativa de protección de datos pero no aportan evidencias de la existencia de medidas concretas y de análisis de riesgos aplicados al caso concreto.
Por consiguiente, se dirige un APERCIBIMIENTO al Ayuntamiento de Torrox, por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE TORROX Ver