Nº de Registros encontrados: 152

Mostrando del 61 al 75

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ley Art Párrafo Resumen Sentido Ámbito Ordenar descendente Órgano Ficha
RPS-2024/015 10/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • LOPDP
  • 32
  • 37
  • Registro de las actividades de tratamiento
  • Seguridad del tratamiento
Se reclama que en las dependencias de la Policía Local del Ayuntamiento de Sevilla, en una oficina de la unidad de registro, se conservan los documentos que los órganos judiciales dirigen a la Policía Local en cajas en estanterías abiertas sin que nada impida ni obstaculice el acceso a los mismos por parte de cualquier persona que trabaje o acceda a la oficina aunque no forme parte de sus funciones el conocimiento de estos. También se denuncia que se llevan a cabo gestiones telefónicas con los órganos judiciales por el personal asignado a tal fin pero nada impide que el resto del personal escuche dichas conversaciones.
En las actuaciones investigadoras y en la instrucción se determina que el tratamiento de datos en dichos documentos debido a su naturaleza, finalidad y, al ser la Policía Local una autoridad competente para ello entra dentro del ámbito de aplicación de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (LOPDP). Se determina también que las medidas de seguridad de conservación de los documentos eran insuficientes en relación al riesgo para los derechos y libertades de los interesados.
Por ello se resuelve DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Sevilla, por una vulneración del artículo 37 de la LOPDP en relación con la ausencia de medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado y, por una vulneración del artículo 32 de la LOPDP, en relación con las insuficiencias encontradas en el registro de actividades de tratamiento.
En cuanto a las medidas correctivas, se resuelve ordenar al Ayuntamiento de Sevilla en relación con las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, que:
- Remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de la adopción de medidas de seguridad para garantizar un nivel de seguridad adecuado, adicionales a las ya adoptadas, y que eviten que se produzcan situaciones como la que han dado origen a la reclamación.
- Remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución definitiva, la documentación acreditativa de haber realizado una completa revisión del registro de actividades de tratamiento del Ayuntamiento de Sevilla y a que en el mismo se reflejen adecuadamente las actividades de tratamiento que lleve a cabo la Policía Local de Sevilla que estén sometidas a la LOPDP con el fin de dar cumplimiento al artículo 32 LOPDP, incluyendo las adecuadas bases de legitimación de la LOPDP, las categorías de datos de infracciones penales y sanciones penales y los derechos que se pueden ejercer en el ámbito de la LOPDP.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE SEVILLA Ver
RED-2024/016 11/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32.1
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la notificación a través del Boletín Oficial del Estado (BOE) de un acto administrativo publicando datos personales de la persona reclamante incumpliendo la normativa de protección de datos.
Tras un periodo de actuaciones previas de investigación, quedó acreditado que el órgano reclamado publicó indebidamente en el BOE datos personales de la persona reclamante, al no haber actuado conforme a la normativa aplicable a las notificaciones administrativas, insertando un anuncio en el BOE cuando aún no había concluido el trámite ordinario de notificación a la persona interesada que exige dos intentos de notificación. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se resuelve DECLARAR las INFRACCIONES responsabilidad del Organismo Provincial de Asistencia Económica y Fiscal de la Diputación de Sevilla, por la comisión de la infracción tipificada el artículo 83.5.a) RGPD por vulneración del artículo 5.1.f) del RGPD referido al principio de confidencialidad y, por la infracción tipificada el artículo 83.4.a) RGPD por vulneración del artículo 32.1 RGPD por falta de adopción de aquellas medidas técnicas y organizativa necesaria para garantizar la confidencialidad de los datos.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES ORGANISMO PROVINCIAL DE ASISTENCIA ECONÓMICA Y FISCAL DE LA DIPUTACIÓN DE SEVILLA Ver
RPS-2024/018 13/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 9
  • 35
  • Categorías especiales de datos
  • Evaluación de impacto relativa a la protección de datos
Se reclama la implantación de un sistema de control de acceso del personal mediante uso de datos biométricos (reconocimiento facial y de la palma de la mano) sin la necesaria legitimidad, sin previa Evaluación de impacto relativa a la protección de datos (EIPD) ni información al personal.
Tras un periodo de actuaciones previas de investigación se constató que el órgano incoado llevó a cabo entre su personal un tratamiento de categorías especiales de datos biométricos sin que se diera una circunstancia que permitiera levantar la prohibición general del tratamiento de dichas categorías especiales de datos, lo que supone una vulneración de lo dispuesto en el artículo 9 del RGPD y que el tratamiento no cumplía con lo establecido en la normativa de protección de datos, por tanto, no era válido. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR las INFRACCIONES responsabilidad de la Diputación Provincial de Sevilla, por la comisión de la infracción tipificada en el art. 83.5.a) del RGPD por vulneración sustancial del articulo 9 del RGPD referido al tratamiento de categorías especiales de datos en relación con la implantación de un sistema de control horario por datos biométricos (reconocimiento facial y de palma de la mano), así como la infracción tipificada el artículo 83.4.a) del RGPD por vulneración sustancial del artículo 35 del RGPD referido a la Evaluación de impacto relativa a la protección de datos en relación al tratamiento de datos antes de llevar a cabo una evaluación de impacto relativa a la protección de datos cuando ésta era exigible.
Como medidas adicionales se propone:
a) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) y g) del RGPD y de acuerdo con el principio de transparencia recogido en el artículo 5.1.a) del RGPD proceda, en el plazo de un mes a comunicar individualmente a todas las personas afectadas, trabajen actualmente o no en la Diputación Provincial de Sevilla, que se ha efectuado la mencionada supresión de sus datos biométricos de reconocimiento facial y de palma de la mano. Para acreditar el cumplimiento de esta medida la Diputación Provincial de Sevilla debe remitir al Consejo, en el plazo máximo de un mes tras la notificación de la resolución definitiva, la documentación acreditativa de haber efectuado dichas comunicaciones.
b) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) RGPD que, en el plazo de un mes a corregir las menciones hechas a “Datos de reconocimiento biométrico a efectos de autenticación del control de presencia de su personal ” en el registro de actividades de tratamiento y que remita a este Consejo, en idéntico plazo, la documentación acreditativa de haber efectuado dichas correcciones.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES DIPUTACIÓN PROVINCIAL DE SEVILLA Ver
RPS-2024/020 18/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la divulgación de datos de carácter personal contenidos en una denuncia de tráfico de la Policía Local.
Tras un periodo de actuaciones previas de investigación, no quedó acreditado que los agentes municipales que utilizaban los dispositivos electrónicos personales emisores de sanciones (PDA), en la fecha de los hechos, tuvieran conocimiento, mediante instrucciones o recomendaciones, de las consecuencias que, en materia de protección de datos personales, podrían conllevar la utilización de dichos dispositivos y las distintas formas de emisión de los boletines de denuncia. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de la Línea de la Concepción por la comisión de la infracción tipificada en el articulo 83.4.a) del RGPD por vulneración del articulo 32.1 del RGPD.
Como medida adicional se propone ordenar al órgano incoado para que informe al Consejo en el plazo de un mes desde la notificación de la resolución, sobre la implantación y desarrollo de instrucciones o recomendaciones a los agentes municipales de las consecuencias que, en materia de protección de datos personales, podrían conllevar la utilización de dispositivos electrónicos personales emisores de sanciones (PDA) y las distintas formas de emisión de los boletines de denuncia, así como acreditación de las medidas técnicas y organizativas adoptadas para evitar errores como el denunciado.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE LA LÍNEA DE LA CONCEPCIÓN Ver
RPS-2024/021 18/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • LOPDP
  • 6.1.f)
  • Vulneración de los principios relativos al tratamiento de datos personales
Se reclama la supresión de imágenes recogidas por cámaras de videovigilancia.
En este caso, la entidad reclamada no solo no remitió las imágenes a la autoridad competente, sino que no las protegió contra su destrucción más allá del plazo de conservación general de las mismas aún conociendo perfectamente que estaba relacionado con un procedimiento administrativo por posible infracción de la seguridad ciudadana ya que este se había incoado precisamente a denuncia de la propia Policía Local de Mijas.
Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de Mijas por la comisión de la infracción tipificada en el articulo 58.a) de la LOPDP por vulneración del articulo 6.1.f) de la LOPDP en relación con la destrucción de imágenes relacionadas con la comisión de una infracción grave en materia de seguridad ciudadana.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE MIJAS Ver
RPS-2024/022 24/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 37
  • Falta la designación del delegado de protección de datos (DPD)
Como parte de las actuaciones llevadas a cabo desde el Consejo para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como autoridad de control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la autoridad de control, en particular, al Ayuntamiento de Constantina, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Constantina no realizó el nombramiento de un Delegado de Protección de datos, y es por eso por lo que se inició procedimiento sancionador.
Sin embargo, de la documentación que obra en el expediente, se constató que, el Ayuntamiento de Constantina ya había designado, el 18 de diciembre de 2023, una persona que ejerciera las funciones del Delegado de Protección de Datos; designación que comunicó a esta autoridad de control el 13 de junio de 2024, es decir, el mismo día de la firma del acuerdo de inicio del procedimiento sancionador.
Por ello, se declara el ARCHIVO del procedimiento sancionador y, consiguientemente, la terminación del procedimiento, como consecuencia de haberse constatado la inexistencia de los hechos que constituían la infracción en el momento de dictarse el acuerdo de inicio, en la medida en que el Ayuntamiento de Constantina había dado cumplimiento a la necesaria designación de un Delegado de Protección de Datos en el momento de inicio del mismo.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE CONSTANTINA Ver
RPS-2024/024 27/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama el acceso indebido por vía electrónica al Registro General del Ayuntamiento de Linares, procediéndose a visualizar y a descargar multitud de escritos, de datos, y de documentos relacionados con terceros, personas físicas y jurídicas y departamentos del Ayuntamiento y órganos de la Administración, partidos políticos, etc., excediéndose de las limitaciones para la que estaba autorizado y sin tener autorización para ello.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Linares, por la comisión de la infracción tipificada en el artículo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD referido al principio de confidencialidad en relación con la divulgación indebida de datos a terceros, así como por la infracción tipificada en el articulo 83.4.a) del RGPD por vulneración del articulo 32 del RGPD referido a la seguridad del tratamiento en relación con la ausencia de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales.
Como medida adicional se propone ordenar al órgano incoado para que remita al Consejo, en el plazo máximo de un mes tras la notificación de la resolución, la documentación acreditativa de la puesta en marcha de actuaciones para evitar que se produzcan situaciones como la que ha dado origen a la
reclamación que da origen al procedimiento sancionador.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE LINARES Ver
RPS-2024/025 27/06/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 13
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
Se reclama el desacuerdo con la forma en que se informa y se pone a disposición de los empleados el “Documento de Confidencialidad para empleados de GIAHSA”.
Tras un periodo de actuaciones previas de investigación, no quedó acreditado que la entidad incoada informara a los interesados de todos y cada uno de los extremos exigidos en el art. 13 del RGPD. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR la INFRACCIÓN responsabilidad de Gestión Integral del Agua de Huelva, S.A. (GIAHSA), por la comisión de la infracción tipificada en el articulo 83.5.b) del RGPD por vulneración del articulo 13 del RGPD por la falta de información a sus trabajadores de todos los extremos exigidos en el citado artículo 13 respecto al tratamiento de los datos personales para la geolocalización a través de los dispositivos móviles profesionales.
Como medida adicional se propone ordenar al órgano incoado para que informe a sus trabajadores de todos los extremos exigidos en el artículo 13 respecto al tratamiento de los datos personales para la geolocalización a través de los dispositivos móviles profesionales y lo acredite a este Consejo en el plazo de un mes desde la recepción de la presente resolución.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES GESTIÓN INTEGRAL DEL AGUA DE HUELVA, S.A. (GIAHSA) Ver
RPS-2024/026 01/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • Vulneración del principio de “integridad y confidencialidad"
Se reclama la entrega de una carta de pago de un impuesto a un familiar del reclamante sin su autorización.
Tras un periodo de actuaciones previas de investigación, se constató que la entidad incoada entregó al familiar del reclamante una carta de pago de impuestos del denunciante que contenía sus datos personales, sin su conocimiento ni consentimiento para su retirada y sin que este hubiera acreditado la representación del mismo. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de Nerja, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD como consecuencia de la vulneración del principio de confidencialidad de los datos.
Como medida adicional se propone ordenar al órgano incoado para que remita a este Consejo, en el plazo de tres meses la documentación acreditativa de que se han adoptado medidas para evitar que se produzcan situaciones similares en el futuro.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE NERJA Ver
RPS-2024/027 02/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5
  • Vulneración de los principios relativos al tratamiento
Se reclama que el tribunal del proceso selectivo para una plaza de un puesto de trabajo, ha hecho público en un anuncio en el tablón edictal todo el CV formativo del reclamante. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de Alhaurín de la Torre, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del articulo 5 del RGPD.
Como medida adicional se propone ordenar al órgano incoado para que remita al Consejo, en el plazo máximo de dos meses tras la notificación de la resolución definitiva, la documentación acreditativa de la existencia de actuaciones para evitar que se produzcan situaciones como la que ha dado origen a la reclamación que da origen al procedimiento sancionador, medias tales como contar con un acceso restringido para los participantes en los procedimientos de selección para aquellos trámites que lo requieran.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE ALHAURÍN DE LA TORRE Ver
RPS-2024/028 03/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.e)
  • Vulneración del principio de «limitación del plazo de conservación»
Se reclama la conservación de datos personales del reclamante más tiempo del necesario e inexactitud de los mismos. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Colegio Oficial de Dentistas de Málaga, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del artículo 5.1.e) del RGPD como consecuencia de una vulneración sustancial del principio de limitación de conservación de los datos personales recogido en el el artículo 5.1.e) del RGPD en relación con el hecho de que la entidad reclamada conserva indefinidamente y para siempre los documentos, y datos personales incluidos en ellos, de las personas colegiadas en su archivo.
Como medidas adicionales se propone ordenar al órgano incoado:
- Remita a este Consejo en el plazo de 10 meses desde la fecha de notificación de la resolución que ponga fin a este procedimiento la documentación acreditativa de haber presentado a la Comisión Andaluza de Valoración de Documentos un estudio de identificación y valoración documental respecto a la documentación de las personas colegiadas en el ejercicio de sus funciones públicas para la elaboración y aprobación de la correspondiente tabla de valoración documental.
- Remita a este Consejo, la publicación de la correspondiente aprobación de la tabla de valoración documental en el Boletín Oficial de la Junta de Andalucía cuando esta se produzca, así como la justificación de que la conservación de los datos y documentos correspondientes se adecúa a la valoración
del plazo de conservación que se establezca en dichas tablas.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES COLEGIO OFICIAL DE DENTISTAS DE MÁLAGA Ver
RPS-2024/030 12/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.c)
  • Vulneración del principio de “minimización de datos”
Se reclama la cesión indebida de datos a terceros.
Tras un periodo de actuaciones previas de investigación, se comprobó que la entidad incoada sí comunicó a los denunciados el nombre y el apellido del ahora reclamante pero no su domicilio, ya que este último constaba como lugar de la infracción y no como domicilio del denunciante. Asimismo, el Ayuntamiento de Sevilla no justificó a este organismo la necesidad de comunicar el nombre y los apellidos del denunciante a los denunciados para el ejercicio de sus derechos, en este caso, el derecho de defensa o tutela judicial efectiva. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de Sevilla, Agencia Tributaria de Sevilla, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del articulo 5.1.c) del RGPD por comunicar datos personales que no eran adecuados y pertinentes para la finalidad de defensa de los denunciados.
Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de tres meses tras la notificación de la resolución, la documentación acreditativa de la puesta en marcha de actuaciones para evitar que se produzcan situaciones que ocasionaron a la reclamación que da origen al procedimiento sancionador, como por ejemplo un protocolo que establezca los criterios que se utilizarán para determinar aquellos casos en los que se comunicará la identidad del denunciante a la persona denunciada y aquellos casos en los que no se hará así .
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE SEVILLA Ver
RPS-2024/031 12/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • Vulneración del principio de “integridad y confidencialidad"
El Consejo tuvo conocimiento, a través de noticias publicadas en medios de comunicación, de una posible vulneración de la normativa de protección de datos personales como consecuencia de posibles accesos indebidos a un importante volumen de expedientes bajo responsabilidad del Ayuntamiento de Jerez de la Frontera por parte de dos personas empleadas municipales. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Jerez de la Frontera, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD como consecuencia de la vulneración del principio de confidencialidad de los datos personales.
Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de veinticuatro meses tras la notificación de la resolución, la documentación acreditativa de haber aplicado a los tratamientos de datos personales responsabilidad de esa entidad las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad (ENS), de conformidad con lo establecido en Disposición adicional primera de la LOPDGDD, para lo cual deberá realizar un análisis de riesgo conforme al artículo 24 del RGPD y, en los supuestos del artículo 35 del RGPD, una Evaluación de impacto relativa a la protección de datos.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE JEREZ DE LA FRONTERA Ver
RPS-2024/033 24/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • Vulneración del principio de “integridad y confidencialidad"
Se reclama la revelación de datos personales desde alcaldía o del equipo de gobierno.
Tras un periodo de actuaciones previas de investigación, se comprobó que en [mes/año], se difundió a través de la aplicación Whatsapp, un
documento interno relativo a [asunto] que incluía el nombre, los apellidos, el DNI y el domicilio de varios concejales, presentado el [día/mes/año], ante la entidad incoada. Asimismo, no quedó acreditado a este Consejo la implementación por parte de la entidad incoada de medidas de seguridad técnicas y organizativas en el momento de producirse los hechos objeto de la reclamación, ni la adopción de medidas posteriores para evitar posibles incidencias similares en el futuro. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Ayuntamiento de Baena, por la comisión de la infracción tipificada en el artículo 83.5.a.) del RGPD por vulneración del artículo 5.1.f) del RGPD por incumplimiento del principio de confidencialidad de datos.
Como medida adicional se propone ordenar a la entidad incoada que informe al Consejo en el plazo de dos meses desde la notificación de la resolución, sobre la implantación y desarrollo de las medidas puestas en marcha por el Ayuntamiento en relación con el tratamiento objeto de la reclamación a los efectos de garantizar la confidencialidad de los datos personales, así como que proceda a la publicación de su Inventario de Actividades de Tratamiento con el fin de dar cumplimiento a lo dispuesto en el artículo 31.2 de la LOPDGDD y en el artículo 6 bis de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE BAENA Ver
RPS-2024/034 24/07/2024
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.f)
  • 32
  • Vulneración del principio de “integridad y confidencialidad"
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama la comunicación de datos personales del reclamante (información de carácter sindical) a terceros a través de un grupo de whatsapp.
Tras un periodo de actuaciones previas de investigación, se comprobó que el reclamante, mediante un correo electrónico dirigido a una lista de distribución correspondiente al Ayuntamiento de Cádiz, puso en conocimiento del mismo una serie de datos sindicales. Con posterioridad, dichos datos personales (nombre, apellidos, datos sindicales y laborales) fueron comunicados a terceros, por una determinada persona que se entiende que es policía local, a través de un grupo de whatsapp que según señala el órgano reclamado no es de su titularidad, siendo recriminada dicha conducta por el propio reclamante en el whatsapp. Asimismo, quedó acreditado que no se habían adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado (artículo 32 del RGPD).Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Cádiz, por la comisión de las infracciones tipificadas en el artículo 83.5.a.) del RGPD por vulneración del artículo 5.1.f) por incumplimiento del principio de confidencialidad de datos, así como la infracción tipificada en el artículo 83.4.a.) del RGPD por vulneración del artículo 32 por la ausencia de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales.
Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de dos meses tras la notificación de la resolución, la documentación acreditativa de la adopción de medidas técnicas y organizativas necesarias y apropiadas, incluidas las puestas en marcha, para evitar que datos personales sean comunicados por miembros de la organización a terceros, vulnerando en principio de confidencialidad.
DECLARACIÓN DE INFRACCIÓN ENTIDADES LOCALES AYUNTAMIENTO DE CÁDIZ Ver