Nº de Registros encontrados: 114

Mostrando del 31 al 45

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ley Art Párrafo Resumen Sentido Ordenar descendente Ámbito Órgano Ficha
RPS-31/2022 18/11/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que que el listado con los nombres, apellidos, DNI y puntuación de las personas participantes en un proceso de selección del Ayuntamiento de Torrox se difundió a través de la aplicación WhatsApp. Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador porque, en el momento en que ocurren los hechos objeto de la reclamación no existen en el mencionado Ayuntamiento medidas de seguridad, normas, procedimientos o reglas sobre el modo en que se publican los datos personales tratados.
Entre otras cuestiones, alega el órgano reclamado, que en la fecha en que ocurrieron los hecho el Ayuntamiento ya había adoptado una serie de medidas tendentes a garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta los criterios establecidos en el artículo 32 RGPD. Sin embargo, entiende este Consejo que las medidas son de carácter general en relación con la seguridad y la normativa de protección de datos pero no aportan evidencias de la existencia de medidas concretas y de análisis de riesgos aplicados al caso concreto.
Por consiguiente, se dirige un APERCIBIMIENTO al Ayuntamiento de Torrox, por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE TORROX Ver
RPS-33/2022 13/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 29
  • 32.1
  • Vulneración en relación al "Tratamiento bajo la autoridad del responsable o del encargado del tratamiento"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el acceso indebido a la historia clínica de la persona reclamante desde un Centro de Salud distinto al que tiene asignado. Tras el análisis de la reclamación, y efectuados los trámites contemplados en la normativa, se inicia procedimiento sancionador por posible incumplimiento tanto del artículo 29 RGPD, por acceso indebido de personal a la historia clínica de la persona reclamante, como del artículo 32.1 RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para evitar los accesos indebidos a la historia clínica de la persona reclamante, al haberse detectado la existencia de un posible acceso indebido por parte de un profesional de enfermería.
Alega el órgano reclamado que mientras no se haya resuelto el expediente disciplinario que aclare los motivos por los cuales se produjeron los accesos a la historia clínica de la persona reclamante por parte del profesional de ese Centro de Salud, no puede acreditarse que el acceso por parte de este profesional sea constitutivo de infracción. Alega además que el acceso a la historia clínica de un paciente desde un centro distinto al que este tiene asignado, no implica necesariamente una infracción ya que la consulta a dicho historial médico podría tener lugar, entre otros motivos, desde otro centro por el profesional que ya le atendió previamente.
Ante dicho argumento, el Consejo en ningún momento se cuestiona dicha circunstancia que, evidentemente, responde a la necesidad de garantizar la atención de las personas usuarias del Servicio Andaluz de Salud desde cualquier lugar y, por ende, su derecho a la salud. Sin embargo, hasta la fecha de la Resolución, no se facilitaron a este organismo las razones concretas que justifican el acceso a la historia clínica de la persona reclamante desde el ese Centro de Salud, ni se ha acreditado la existencia de medidas técnicas u organizativas en el mismo que impidan que puedan producirse accesos indebidos.
Por consiguiente, se dirige un APERCIBIMIENTO a la Dirección General de Asistencia Sanitaria y Resultados en Salud (Servicio Andaluz de Salud), por infracción de los artículos 29 y 32.1 RGPD, tipificadas en el artículo 83.4 RGPD, en relación con el acceso indebido de personal a la historia clínica de la reclamante, y la falta de aplicación de medidas técnicas y organizativas apropiadas para evitarlo.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-32/2022 18/11/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 58.1
  • Falta de colaboración con la Autoridad de Control en sus poderes de investigación
Se dirige un apercibimiento al Ayuntamiento de Jaén por infracción del artículo 58.1 RGPD, tipificada en el artículo 83.5.e) RGPD por falta de colaboración con este Consejo. APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE JAÉN Ver
RPS-2023/003 10/03/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el envío de un correo electrónico, adjuntando convocatoria a la Mesa General de Negociación, sin ocultar las direcciones de las personas destinatarias, representantes sindicales, entre las que se incluía alguna dirección de correo personal (no corporativa) y que resultó accesible por todos los destinatarios.
Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación.
Por ello, se dirigió un APERCIBIMIENTO al Ayuntamiento de Sanlúcar la Mayor, por la infracción del artículo 32 RGPD, tipificada en el artículo 83.4.a) RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales y evitar la divulgación a terceros. Como medida adicional se insta al Ayuntamiento la implantación y desarrollo de las medidas en relación con el tratamiento objeto de la reclamación, así como que se publique el inventario de actividades de tratamiento en la página web del Ayuntamiento.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE SANLÚCAR LA MAYOR Ver
RPS-2023/004 13/03/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento
Se reclama la publicación de imágenes en redes sociales de una persona menor por parte del personal de un Centro educativo.
El órgano reclamado, entre otras cuestiones, alega que el Pliego de Clausulas Administrativas Particulares (PCAP) tipo contempla determinadas obligaciones respecto de la protección de datos en su Anexo XXV, modelo de acuerdo de confidencialidad y en su Anexo XXVI, modelo del tratamiento de datos, todo ello en cumplimiento del RGPD y a la LOPDGDD. Sin embargo, entiende este Consejo que sin perjuicio de que en el modelo de PCAP tipo se hiciera referencia al tratamiento de datos personales, ni en el contrato ni en sus distintas prórrogas suscritas entre la Consejería de Igualdad, Políticas Sociales y Conciliación y la Entidad se regulaba el acceso de ésta a los datos personales responsabilidad del órgano reclamado cumpliendo todos los requisitos exigidos por el artículo 28 RGPD.
Por ello, se dirige un apercibimiento a la Dirección General de Infancia, Adolescencia y Juventud (Consejería de Inclusión Social, Juventud, Familias e Igualdad) por infracción del artículo 28 RGPD.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN Ver
RPS-35/2022 28/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que el Comité de Empresa de la Agencia Andaluza del Conocimiento ha enviado un correo dirigido a un grupo de sus trabajadores, incluyendo como documento adjunto una tabla con indicación detallada del salario de cada trabajador, junto con sus nombres y apellidos.
Se requirió al órgano reclamado para que aportara Información sobre las medidas de seguridad, normas, procedimientos o reglas implementadas por el comité de empresa, sobre los protocolos o las instrucciones impartidas en relación con la publicación de datos personales o evidencias sobre el conocimiento por parte de los miembros del comité sobre las condiciones y limitaciones a que está sometido el acceso a datos personales, así como detalle de las medidas adoptadas para evitar posibles incidencias similares en el futuro. En este aspecto, no se acreditó la existencia de la implantación de medidas previas a los efectos de evitar la comunicación de datos efectuada, si bien quedaron acreditadas las actuaciones realizadas a posteriori.
Por ello, se dirige un APERCIBIMIENTO al Comité de Empresa de la Agencia Andaluza del Conocimiento, por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD, sin imposición de medidas adicionales, por ya haberlas puesto en marcha el mencionado Comité de Empresa.
APERCIBIMIENTO JUNTA DE ANDALUCÍA AGENCIA ANDALUZA DEL CONOCIMIENTO Ver
RPS-36/2022 28/12/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
Se reclama la publicación por parte del Ayuntamiento de Ubrique en Facebook de datos personales de menores sin previa autorización ni comunicación.
El Ayuntamiento alega que es Facebook el que trata los datos y que por tanto, no cabe imputar las responsabilidades del art. 13 del RGPD al Ayuntamiento sino a la citada red social. Asimismo, afirma que el órgano reclamado decidió tomar como soporte del concurso de dibujos a la Red Social Facebook precisamente para evitar ningún tipo de operación con los datos personales de quienes participasen.
Sin embargo, entiende este Consejo que el Ayuntamiento de Ubrique es quien organizó el concurso, lo convocó y estableció las bases del mismo y, por tanto, quien determinó los fines y medios del tratamiento siendo, por tanto, responsable del tratamiento de los datos personales de los menores que participaron en el concurso de dibujos infantil, con independencia de la ubicación de dichos datos y de la voluntariedad con que los mismos se aportaron al concurso y quien debió informar del tratamiento de los datos.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Ubrique,por infracción del artículo 13 RGPD, tipificada en el artículo 83.5.b) RGPD. Como medida adicional, se insta al Ayuntamiento a analizar los tratamientos que pueda llevar a cabo en relación con la participación de la ciudadanía a través de redes sociales, y los incluya en el correspondiente Registro de Actividades de Tratamiento, estableciendo además el procedimiento de información a los interesados.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE UBRIQUE Ver
RPS-2023/005 21/03/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento
Se reclama la instalación de una aplicación por parte del Consorcio Provincial de Bomberos de Málaga, cuyo uso podría no contar con las garantías necesarias sobre protección de datos de carácter personal.
El órgano reclamado no formuló alegaciones y se dirigió un APERCIBIMIENTO al Consorcio Provincial de Bomberos de Málaga por infracción del artículo 28 RGPD, tipificada en el artículo 83.4.a) RGPD por encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28 RGPD.
Asimismo, se insta al Consorcio Provincial de Bomberos de Málaga a que establezca o regularice un vínculo jurídico con la empresa responsable del tratamiento que de cumplimento a lo establecido en el artículo 28.3 RGPD. Además, deberá hacer público el inventario de sus actividades de tratamiento de acuerdo con lo dispuesto en el artículo 6bis LTAIBG. El plazo otorgado para estas actuaciones será de un mes desde la notificación de la presente resolución, debiendo dar cuenta al Consejo, en el mismo plazo, de lo realizado.
APERCIBIMIENTO ENTIDADES LOCALES CONSORCIO PROVINCIAL DE BOMBEROS DE MÁLAGA Ver
RPS-2023/006 24/04/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la cesión a terceros de los datos de carácter personal del representante de un Club Ciclista parte del Ayuntamiento de San Roque sin informarle previamente ni solicitar su consentimiento.
Notificada la propuesta de resolución al órgano reclamado, entre otras cuestiones, alega que la comunicación de datos reclamada es una actividad de tratamiento legítima, y para ello defiende que “Consta asimismo acreditado en el expediente el consentimiento del denunciante para el tratamiento de sus datos personales, para la actividad de tratamiento referida”, así como que “la comunicación de los datos sí fue autorizada por el interesado desde el momento que presenta su solicitud y acepta que sus datos serán tratados para la tramitación del expediente”. El Consejo en ningún momento ha puesto en duda la licitud de la actividad del tratamiento, lo cual no implica que la misma deba cumplir con el resto de principios exigidos por la normativa de protección de datos, entre ellos el principio que garantice que se traten exclusivamente los datos necesarios para garantizar la finalidad para la que se recogieron los datos objeto de reclamación. Asimismo, comprobó este organismo que en la “Instancia General” que cumplimentó el representante legal del reclamante, en el apartado relativo al “Consentimiento y Deber de Informar a los Interesados sobre Protección de Datos” éste, simplemente marcó una casilla donde afirma que se le informa de que la Entidad va a tratar y guardar los datos aportados para la realización de actuaciones administrativas y que la finalidad del tratamiento era “tramitar procedimientos y actuaciones administrativas”, lo cual, no implica que otorgara el consentimiento, tal como alega el órgano reclamado.
Por otro lado, vuelve a alegarse que los datos que fueron comunicados a terceros eran meramente identificativos, no incluidos en los especialmente protegidos, y además manifiestamente públicos. Al respecto, este Consejo considera que el hecho de que la identidad del representante legal del reclamante pudiera ser conocida en algunos ámbitos o pudiera, fácilmente, accederse a la misma a través de búsquedas en Internet, no legitima al Ayuntamiento a poder comunicar datos personales a terceros que no son pertinentes ni necesarios para la finalidad perseguida con dicha comunicación.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de San Roque por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE SAN ROQUE Ver
RPS-2023/007 18/05/2023
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 6
  • 13
  • Vulneración de la "Licitud del tratamiento"
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
Se trata de una reclamación contra un centro educativo de la Consejería de Educación y Desarrollo Educativo en relación las grabaciones en audio de las sesiones correspondientes a las reuniones de un Departamento didáctico sin haberse abordado con carácter previo modificación alguna del Reglamento de Organización y Funcionamiento del Plan de Centro, a fin de dotar a dichas actuaciones de las necesarias garantías, establecidas en el RGPD.
Al respecto, en el seno de la instrucción del expediente sancionador, el órgano reclamado en sus alegaciones al acuerdo de inicio manifiesta, en síntesis, que con base en la normativa de organización y funcionamiento de centros educativos no se considera que se haya incurrido en falta de información a las personas integrantes del departamento sobre el hecho de que se vaya a realizar la grabación de una determinada sesión y, en relación a licitud del tratamiento, el órgano reclamado entiende que se considera que el centro docente y la Administración educativa están legitimados para recabar y tratar los datos personales, conforme a lo dispuesto en artículo 6.1, letras c) y e) del RGPS y los artículos 15 a 18 de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público.
Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación.
El procedimiento concluye con un APERCIBIMIENTO por las infracciones de los artículos 6 y 13 del RGPD, ya que el Consejo considera que no ha quedado acreditado que el centro docente informara a los miembros del Departamento asistentes a las sesiones de que éstas iban a ser grabadas y tampoco ha quedado acreditado que se les informara de los extremos exigidos por el artículo 13 del RGPD. Asimismo, el Consejo evidencia que el órgano reclamado ha realizado un tratamiento ilícito de datos personales, consistente en la grabación de audio de las sesiones del Departamento, al no cumplir el citado tratamiento con alguna de las condiciones establecidas en el artículo 6.1 del RGPD.
APERCIBIMIENTO JUNTA DE ANDALUCÍA CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL Ver
RPS-4/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama porque desde un órgano territorial de la Consejería de Educación y Deporte se remite un certificado de estudios de modo que, a través del código seguro de verificación (CSV) de la firma electrónica del documento es posible acceder a datos personales no solo de la persona que recibía el certificado, sino de todas aquellas que figuraban en el documento que se había firmado conjuntamente. Desde la Consejería se indica, aportando el Registro de Actividades de Tratamiento, que el responsable del correspondiente tratamiento es la Dirección General de Ordenación y Evaluación Educativa. No obstante, una vez iniciado el procedimiento sancionador contra el mencionado centro directivo por la vulneración del artículo 32.1 RGPD por la falta de aplicación de adecuadas medidas técnicas y organizativas, se llega a constatar, dado que desde la Consejería se modifica el criterio en relación con la responsabilidad de la operación de tratamiento objeto de la infracción, que la responsabilidad sobre la infracción cometida recaía en el órgano provincial.
Se sobresee el expediente contra la Dirección General y no cabe iniciar nuevo expediente contra el órgano provincial por la prescripción de la infracción.
No obstante, en la resolución se insta a la Consejería de Educación y Deporte a que determine claramente en su Registro de Actividades de Tratamiento quién o quiénes son los responsables de la operación de tratamiento que supone la certificación de los estudios realizados y en qué tratamiento o tratamientos está incluida dicha operación.
ARCHIVO JUNTA DE ANDALUCÍA CONSEJERÍA DE EDUCACIÓN Y DEPORTE Ver
RPS-6/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento
Se denuncia, por noticias aparecidas en prensa, que el Ayuntamiento de Jaén anuncia un convenio con una empresa para 'adecentar' locales y ordenar documentación responsabilidad del Ayuntamiento. La persona reclamante considera que la empresa podría estar accediendo sin las debidas garantías a dicha documentación, vulnerándose por tanto lo establecido en la normativa de protección de datos.
En la instrucción del procedimiento no se llega a constatar, en relación con el convenio anunciado, que realmente se realizaran los trabajos. Al no constatarse la existencia de un tercero encomendado por el Ayuntamiento para hacer los trabajos, ni que esos trabajos se hubieran hecho, se considera que ha de archivarse el expediente sancionador.
No obstante, sí se ha constatado la absoluta falta de colaboración del Ayuntamiento en la resolución del procedimiento al no remitir al Consejo ninguna información ni documentación solicitadas. Consecuencia de ello, la resolución ordena el inicio de un expediente para iniciar un posible expediente sancionador contra el Ayuntamiento por falta de colaboración con la autoridad de control.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE JAÉN Ver
RPS-8/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación por la publicación en Internet de un listado de personas por parte del Ayuntamiento de Málaga, incluyendo nombre y DNI completos, incumpliendo la DA 7ª LOPDGDD en relación con la identificación de interesados en notificaciones por medio de anuncios y publicaciones de actos administrativos. El Ayuntamiento detecta rápidamente el error y lo corrige.
En la instrucción del procedimiento se ha acreditado la existencia de medidas previas en relación con el cumplimiento de la normativa de protección de datos, en este caso relacionadas con la necesaria información al personal sobre la publicación de este tipo de listados, y se propone el sobreseimiento dado que se considera que ha existido ha sido un error puntual subsanado de forma inmediata.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE MÁLAGA Ver
RPS-29/2022 10/10/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • Información que deberá facilitarse cuando los datos personales se obtengan del interesado
El procedimiento sancionador se incoa de oficio, tras la existencia de una reclamación que denuncia que en la convocatoria de la consulta popular para el cambio de denominación del estadio de fútbol de Cádiz se han incumplido preceptos de la normativa de protección de datos en relación, fundamentalmente, con la legitimidad del proceso, el consentimiento de los participantes, el tratamiento de datos de menores y la información sobre protección de datos a los participantes.
Tras un periodo de actuaciones previas de investigación, se concluye que no necesariamente ha de ser el consentimiento la condición que legitima el tratamiento, sino el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, toda vez que la Ley Reguladora de Bases de Régimen Local habilita facilitar la participación ciudadana en la toma de decisiones; en relación a los menores, dado que no iba dirigida a ellos la consulta y que se habilitaron medios para no proceder al tratamiento de sus datos, se considera que no ha lugar a considerar la necesidad de contar con su consentimiento o el de sus progenitores. Sí se detectaron carencias en lo que se refiere a la información a aportar a los interesados, exigida por el artículo 13 RGPD, y es por eso por lo que se inició procedimiento sancionador, proponiendo el apercibimiento por una infracción del RGPD relativa a la omisión del deber de informar, calificada como muy grave, a efectos de prescripción, en la LOPDGDD.
No obstante en sus alegaciones, el Ayuntamiento acredita que sí había informado sobre el tratamiento a los interesados, si bien de forma incompleta, cuestión que subsanó posteriormente. Teniendo en cuenta en la instrucción del procedimiento dichas alegaciones y comprobado lo manifestado por el ayuntamiento, puede concluirse que la infracción cometida no fue la omisión de deber de informar sino que la información ofrecida no era completa en relación con lo exigido por el artículo 13 RGPD; así, la infracción pasa de tener carácter muy grave (3 años de prescripción), a considerarse leve a efectos de prescripción, de acuerdo con el articulo 74.a) LOPDGDD, y por lo tanto el periodo de prescripción es de un año.
Dado que el ayuntamiento subsanó además la falta de información, en el momento de iniciar el expediente sancionador ya había cumplido el periodo de prescripción, por lo que no cabría imponer la sanción de apercibimiento, dictándose pues el archivo de las actuaciones.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CÁDIZ Ver
RED-7/2020 30/12/2020
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • Derecho de acceso
Reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso a datos personales por el Servicio Andaluz de Salud. Se procede a declarar la pérdida sobrevenida del objeto de la reclamación y, consiguientemente, la terminación del procedimiento, en la medida en que el Servicio Andaluz de Salud ha dado respuesta a la solicitud formulada a partir de la intervención del Delegado de Protección de Datos. DECLARACIÓN DE TERMINACIÓN DEL PROCEDIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver