Nº de Registros encontrados: 152
Mostrando del 46 al 60
En los campos marcados con O puedes introducir varios elementos separados por comas.
Posicionándonos sobre el campo se ofrece ayuda para su implementación.
Nº | Fecha | Tipológia | Ley | Art | Párrafo | Resumen | Sentido | Ámbito | Órgano Ordenar ascendente | Ficha |
---|---|---|---|---|---|---|---|---|---|---|
RPS-2024/029 | 12/07/2024 |
|
|
|
|
Notificación de una brecha de seguridad de datos personales por pérdida de un disco duro externo del Servicio de Admisión y Documentación Clínica de un Hospital. Se comprobó que el responsable del tratamiento incumplió el artículo 32.1 RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para evitar el posible acceso no autorizado a datos de categorías especiales de un número importante de personas, al haberse producido la pérdida o robo del mencionado dispositivo sin medidas de seguridad. Asimismo, por el carácter muy grave de los perjuicios potenciales para los derechos y libertades de las personas interesadas en tal número y en un contexto de atención sanitaria, se vulneró el artículo 5.1.f) RGPD. Notificada la propuesta de resolución al órgano reclamado, no presentó alegaciones. Por ello, se procede a DECLARAR la INFRACCIÓN responsabilidad de la Dirección General de Asistencia Sanitaria y Resultados en Salud (Servicio Andaluz de Salud) por la comisión de la infracción tipificada en el artículo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD, así como en el articulo 83.4.a) del RGPD por vulneración del articulo 32.1 del RGPD. |
DECLARACIÓN DE INFRACCIÓN | JUNTA DE ANDALUCÍA | SAS (SERVICIO ANDALUZ DE SALUD) | Ver |
RPS-2024/032 | 23/07/2024 |
|
|
|
|
Se reclama el envío de emails que contienen información confidencial de una persona que no soy yo (reclamante). Los emails contienen información relacionados con análisis de otra persona. Tras un periodo de actuaciones previas de investigación, se comprobó que se había producido una difusión indebida de datos de salud de unos pacientes a otro paciente, y por otra, no se acreditó que el órgano reclamado contara con medidas de seguridad para evitar el incidente. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR la INFRACCIÓN responsabilidad del Servicio Andaluz de Salud, por la comisión de las infracciones tipificadas en los artículos 83.5.a.) y 83.4.a) del RGPD por vulneración de los artículos 5.1.c) y 32 del RGPD como consecuencia de la falta de medidas de seguridad técnicas y organizativas que garanticen la confidencialidad de los datos personales y eviten la revelación de los mismos a terceros. Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de un mes tras la notificación de la resolución, la documentación acreditativa de la puesta en marcha de actuaciones para evitar que se produzcan situaciones como la que ha dado origen a la reclamación que da origen al procedimiento sancionador. |
DECLARACIÓN DE INFRACCIÓN | JUNTA DE ANDALUCÍA | SAS (SERVICIO ANDALUZ DE SALUD) | Ver |
RED-2024/016 | 11/06/2024 |
|
|
|
|
Se reclama la notificación a través del Boletín Oficial del Estado (BOE) de un acto administrativo publicando datos personales de la persona reclamante incumpliendo la normativa de protección de datos. Tras un periodo de actuaciones previas de investigación, quedó acreditado que el órgano reclamado publicó indebidamente en el BOE datos personales de la persona reclamante, al no haber actuado conforme a la normativa aplicable a las notificaciones administrativas, insertando un anuncio en el BOE cuando aún no había concluido el trámite ordinario de notificación a la persona interesada que exige dos intentos de notificación. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se resuelve DECLARAR las INFRACCIONES responsabilidad del Organismo Provincial de Asistencia Económica y Fiscal de la Diputación de Sevilla, por la comisión de la infracción tipificada el artículo 83.5.a) RGPD por vulneración del artículo 5.1.f) del RGPD referido al principio de confidencialidad y, por la infracción tipificada el artículo 83.4.a) RGPD por vulneración del artículo 32.1 RGPD por falta de adopción de aquellas medidas técnicas y organizativa necesaria para garantizar la confidencialidad de los datos. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | ORGANISMO PROVINCIAL DE ASISTENCIA ECONÓMICA Y FISCAL DE LA DIPUTACIÓN DE SEVILLA | Ver |
RPS-2024/016 | 11/06/2024 |
|
|
|
|
Se reclama la notificación a través de Boletín Oficial del Estado (BOE) de un acto administrativo publicando datos personales de la persona reclamante incumpliendo la normativa de protección de datos. Tras un periodo de actuaciones previas de investigación, quedó acreditado que el órgano reclamado publicó indebidamente en el BOE datos personales de la persona reclamante, al no haber actuado conforme a la normativa aplicable a las notificaciones administrativas, insertando un anuncio en el Boletín Oficial del Estado cuando aún no había concluido el trámite ordinario de notificación al interesado que exige dos intentos de notificación. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones. Se procede a DECLARAR la INFRACCIÓN responsabilidad del Organismo Provincial de Asistencia Económica y Fiscal de la Diputación de Sevilla por la comisión de la infracción tipificada el artículo 83.5.a) del RGPD por vulneración del artículo 5.1.f) del RGPD referido al principio de confidencialidad y de la infracción tipificada el artículo 83.4.a) RGPD por vulneración del artículo 32.1 del RGPD por falta de adopción de aquellas medidas técnicas y organizativa necesaria para garantizar la confidencialidad de los datos. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | ORGANISMO PROVINCIAL DE ASISTENCIA ECONÓMICA Y FISCAL DE LA DIPUTACIÓN DE SEVILLA | Ver |
RPS-2024/025 | 27/06/2024 |
|
|
|
|
Se reclama el desacuerdo con la forma en que se informa y se pone a disposición de los empleados el “Documento de Confidencialidad para empleados de GIAHSA”. Tras un periodo de actuaciones previas de investigación, no quedó acreditado que la entidad incoada informara a los interesados de todos y cada uno de los extremos exigidos en el art. 13 del RGPD. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes. Se procede a DECLARAR la INFRACCIÓN responsabilidad de Gestión Integral del Agua de Huelva, S.A. (GIAHSA), por la comisión de la infracción tipificada en el articulo 83.5.b) del RGPD por vulneración del articulo 13 del RGPD por la falta de información a sus trabajadores de todos los extremos exigidos en el citado artículo 13 respecto al tratamiento de los datos personales para la geolocalización a través de los dispositivos móviles profesionales. Como medida adicional se propone ordenar al órgano incoado para que informe a sus trabajadores de todos los extremos exigidos en el artículo 13 respecto al tratamiento de los datos personales para la geolocalización a través de los dispositivos móviles profesionales y lo acredite a este Consejo en el plazo de un mes desde la recepción de la presente resolución. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | GESTIÓN INTEGRAL DEL AGUA DE HUELVA, S.A. (GIAHSA) | Ver |
RED-2023/009 | 21/03/2023 |
|
|
|
|
Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ejercitado por la persona reclamante por parte de la Fundación Ciudades Medias Centro de Andalucía en relación con los datos personales para la creación de una bolsa de trabajo. En el transcurso de la tramitación ha quedado acreditado que finalmente, fuera del plazo legalmente establecido, la persona reclamante recibió nueva contestación por parte del órgano reclamado al derecho de acceso ejercitado, facilitándole, en esta ocasión, copia de sus datos personales y se le informaba que no poseían otros datos personales ya que la Fundación no guardó otra información personal ni se tomaron datos personales más allá de los ya indicados y puestos a su disposición. Por ello, se ESTIMA POR MOTIVOS FORMALES la reclamación sin que proceda instar a otra actuación al órgano reclamado. |
ESTIMADA | ENTIDADES LOCALES | FUNDACIÓN CIUDADES MEDIAS DEL CENTRO DE ANDALUCÍA | Ver |
RPS-2023/002 | 23/01/2023 |
|
|
|
|
Se trata de una reclamación contra la Escuela de Arte de Sevilla (Consejería de Educación y Desarrollo Educativo) en relación con la divulgación de un documento entre todos los profesores del claustro que la persona reclamante había enviado para realizar observaciones a un acta. En dicho documento se incluían datos personales de la misma como el domicilio. Aunque el centro argumenta la seguridad del sistema de mensajería utilizado (Séneca), desde el Consejo se hace mención a que no se pone en duda dicha seguridad, sino el contenido que puedan o no incluir los documentos que se remitan a partir de él. Se considera que no se disponía de medidas adecuadas para que el personal conociera cómo debía remitirse la documentación (ocultando datos no necesarios) y se dicta el APERCIBIMIENTO por vulneración del artículo 31.2 del RGPD, en relación con la inexistencia de las mencionadas medidas. No se incluyen en la resolución otras medidas a llevar a cabo por parte del centro, dado que en transcurso del procedimiento, la Escuela implanta medidas específicas para indicar cómo han de remitirse los documentos, si bien al detectarse una falta de actualización en el inventario de actividades de tratamiento, se insta a la Consejería a realizar dicha actualización. |
APERCIBIMIENTO | JUNTA DE ANDALUCÍA | ESCUELA DE ARTE DE SEVILLA (CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL) | Ver |
RPS-23/2022 | 30/06/2022 |
|
|
|
|
Se reclama que la Entidad Urbanística de Conservación Sanlúcar Club de Campo ha distribuido entre sus miembros un documento en el que figuran datos personales del reclamante y, aunque aparecen 'tachados' en el texto del documento, se mantiene el código seguro de verificación (CSV), lo que permite la consulta completa del documento por cualquiera que verifique el mismo, y por tanto el acceso a los datos del reclamante. Se considera que el responsable del tratamiento reclamado ha incumplido con la obligación de dotar al tratamiento de las adecuadas medidas de seguridad (infracción del artículo 32.1 RGPD), y se le dirige un APERCIBIMIENTO. No se incluyen medidas adicionales, porque la entidad llegó a eliminar la posibilidad de acceso al documento y tomó medidas para minimizar la causa del error en el futuro. |
APERCIBIMIENTO | ENTIDADES LOCALES | ENTIDAD URBANÍSTICA DE CONSERVACIÓN SANLÚCAR CLUB DE CAMPO | Ver |
RED-36/2021 | 16/12/2021 |
|
|
|
|
Reclamación por inadecuada atención al EJERCICIO DE DERECHO de supresión por la Empresa Pública de Emergencias Sanitarias (EPES) en relación con los antecedentes de un episodio clínico ocurrido desde el año 2003 hasta mayo de 2009. Durante el procedimiento se detectan incoherencias, o al menos falta de claridad, entre la respuesta dada al reclamante denegando el derecho de supresión ejercitado y la realidad de los datos tratados. Se ESTIMA la reclamación y se insta al responsable del tratamiento, la Empresa Pública de Emergencias Sanitarias, para que remita a la parte reclamante adecuada respuesta al derecho de supresión ejercitado, aclarando la existencia de los datos en las distintas fuentes donde pueden constar los mismos, si procede o no la supresión de los datos solicitados y si, en su caso, dicha supresión ya ha sido realizada. | ESTIMADA | JUNTA DE ANDALUCÍA | EMPRESA PÚBLICA DE EMERGENCIAS SANITARIAS (EPES) | Ver |
RED-9/2022 | 21/09/2022 |
|
|
|
|
Reclamación por falta de respuesta al EJERCICIO DEL DERECHO de supresión ante Emvisesa (Ay. de Sevilla) en relación con el Registro Público Municipal de Demandantes de Vivienda Protegida en Sevilla, y no se le contestó. Se comprueba que se denegó el derecho por falta de acreditación en relación con el estado civil de la persona reclamante, si bien, en el transcurso de la tramitación y en los plazos que la normativa contempla, se aporta la correspondiente documentación, procediéndose a la supresión de los datos. Se DESESTIMA por tanto la reclamación, si bien se insta al órgano reclamado a la publicación de tratamiento afectado en el inventario de actividades de tratamiento, así como a la aplicación de medidas de seguridad en relación con el acceso a datos que hubieran sido bloqueados como consecuencia del ejercicio del derecho de supresión. | DESESTIMADA | ENTIDADES LOCALES | EMPRESA MUNICIPAL DE LA VIVIENDA (AYUNTAMIENTO DE SEVILLA) | Ver |
RED-5/2021 | 17/02/2021 |
|
|
|
|
Reclamación por inadecuada atención al EJERCICIO DE DERECHOS de acceso y rectificación a datos personales por parte de EMASESA, en relación con un contrato de suministro de agua. Se declara la PERDIDA SOBREVENIDA DEL OBJETO de la reclamación y, consiguientemente, la terminación del procedimiento, en la medida en que la entidad reclamada ha dado respuesta a la solicitud de ejercicio de derechos formulada. | DECLARACIÓN DE TERMINACIÓN DEL PROCEDIMIENTO | ENTIDADES LOCALES | EMASESA | Ver |
RPS-18/2022 | 25/04/2022 |
|
|
|
|
Una persona reclama que se le ha notificado a una dirección incorrecta una infracción de tráfico: no se ha hecho a la dirección que tiene consignada en la DG. de Tráfico a estos efectos, sino a otra a la que ha accedido el organismo reclamado (OPAEF, de la Diputación de Sevilla). Tras el procedimiento, se comprueba que, efectivamente, el organismo ha utilizado datos provenientes de otras fuentes a las que tiene acceso (Padrón, datos tributarios) para enviar la notificación al domicilio que consta en estos y no al que consta en la Jefatura de Tráfico. De haber sido infructuosa la notificación que se hubiera realizado a esta última dirección, sí se considera que podría haberse acudido a otras fuentes. Debido a este uso inadecuado de los datos, se considera responsable a OPAEF de emplearlos para una finalidad distinta a aquella para la que fueros recogidas y se propone una sanción por vulneración del principio de "finalidad", dirigiéndose al organismo un APERCIBIMIENTO, con la medida adicional de que establezca una práctica adecuada para realizar las notificaciones. |
APERCIBIMIENTO | ENTIDADES LOCALES | DIPUTACIÓN PROVINCIAL DE SEVILLA | Ver |
RPS-2024/018 | 13/06/2024 |
|
|
|
|
Se reclama la implantación de un sistema de control de acceso del personal mediante uso de datos biométricos (reconocimiento facial y de la palma de la mano) sin la necesaria legitimidad, sin previa Evaluación de impacto relativa a la protección de datos (EIPD) ni información al personal. Tras un periodo de actuaciones previas de investigación se constató que el órgano incoado llevó a cabo entre su personal un tratamiento de categorías especiales de datos biométricos sin que se diera una circunstancia que permitiera levantar la prohibición general del tratamiento de dichas categorías especiales de datos, lo que supone una vulneración de lo dispuesto en el artículo 9 del RGPD y que el tratamiento no cumplía con lo establecido en la normativa de protección de datos, por tanto, no era válido. Por ello, se inició Procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste presentó alegaciones pero no desvirtuaban el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficientes. Se procede a DECLARAR las INFRACCIONES responsabilidad de la Diputación Provincial de Sevilla, por la comisión de la infracción tipificada en el art. 83.5.a) del RGPD por vulneración sustancial del articulo 9 del RGPD referido al tratamiento de categorías especiales de datos en relación con la implantación de un sistema de control horario por datos biométricos (reconocimiento facial y de palma de la mano), así como la infracción tipificada el artículo 83.4.a) del RGPD por vulneración sustancial del artículo 35 del RGPD referido a la Evaluación de impacto relativa a la protección de datos en relación al tratamiento de datos antes de llevar a cabo una evaluación de impacto relativa a la protección de datos cuando ésta era exigible. Como medidas adicionales se propone: a) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) y g) del RGPD y de acuerdo con el principio de transparencia recogido en el artículo 5.1.a) del RGPD proceda, en el plazo de un mes a comunicar individualmente a todas las personas afectadas, trabajen actualmente o no en la Diputación Provincial de Sevilla, que se ha efectuado la mencionada supresión de sus datos biométricos de reconocimiento facial y de palma de la mano. Para acreditar el cumplimiento de esta medida la Diputación Provincial de Sevilla debe remitir al Consejo, en el plazo máximo de un mes tras la notificación de la resolución definitiva, la documentación acreditativa de haber efectuado dichas comunicaciones. b) Ordenar a la Diputación Provincial de Sevilla que, de conformidad con el artículo 58.2.d) RGPD que, en el plazo de un mes a corregir las menciones hechas a “Datos de reconocimiento biométrico a efectos de autenticación del control de presencia de su personal ” en el registro de actividades de tratamiento y que remita a este Consejo, en idéntico plazo, la documentación acreditativa de haber efectuado dichas correcciones. |
DECLARACIÓN DE INFRACCIÓN | ENTIDADES LOCALES | DIPUTACIÓN PROVINCIAL DE SEVILLA | Ver |
RED-3/2021 | 17/02/2021 |
|
|
|
|
Reclamación por inadecuada atención al EJERCICIO DE DERECHO de supresión de datos personales ante la Diputación Provincial de Córdoba en relación con la publicación de dichos datos en Internet. Se desestima la reclamación por la imposibilidad técnica alegada por el órgano reclamado de suprimir la información sin que se vieran afectados derechos de terceros, todo ello, sin perjuicio de que el reclamente pueda ejercer su derecho al olvido directamente ante los motores de búsqueda en Internet. | DESESTIMADA | ENTIDADES LOCALES | DIPUTACIÓN PROVINCIAL DE CÓRDOBA | Ver |
RED-16/2021 | 22/03/2021 |
|
|
|
|
Reclamación por falta de respuesta al EJERCICIO DE DERECHO de acceso a datos personales por la Diputación Provincial de Cádiz en relación a la información relacionada con datos personales del reclamante facilitada al Ayuntamiento de Jerez de la Frontera. Se declara la PERDIDA SOBREVENIDA DEL OBJETO de la reclamación y, consiguientemente, la terminación del procedimiento, en la medida en que la entidad reclamada ha dado respuesta a la solicitud de ejercicio de derechos formulada. |
DECLARACIÓN DE TERMINACIÓN DEL PROCEDIMIENTO | ENTIDADES LOCALES | DIPUTACIÓN PROVINCIAL DE CÁDIZ | Ver |