Nº de Registros encontrados: 54

Mostrando del 1 al 15

En los campos marcados con O puedes introducir varios elementos separados por comas.

Posicionándonos sobre el campo se ofrece ayuda para su implementación.

Fecha desde
Fecha Tipológia Ley Art Párrafo Resumen Sentido Ordenar descendente Ámbito Órgano Ficha
RPS-1/2022 12/01/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama que, por error, en la Intranet del órgano reclamado se 'cruzan' los DNI de dos personas, de modo que a cada una de ellas le aparecen en la Intranet las nóminas de la otra; quien reclama es una de ellas.
El órgano reclamado reconoce el error, pero tarda 15 días en solucionarlo desde que se notifica la incidencia, tiempo en que además la persona reclamante no tiene acceso a su nómina. Una vez solucionada la incidencia, y para que en el futuro no vuelva a ocurrir, se introducen nuevos controles en el acceso a los datos.
Además de dirigir un APERCIBIMIENTO, no se proponen medidas adicionales porque el órgano reclamado ya las tomó.
APERCIBIMIENTO JUNTA DE ANDALUCÍA AGENCIA DE SERVICIOS SOCIALES Y DEPENDENCIA DE ANDALUCÍA Ver
RPS-2/2022 27/01/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • RGPD
  • 5.1.a)
  • 6.1
  • Vulneración principio de “licitud, lealtad y transparencia”
  • No disponer de base legitimadora del tratamiento
El Ayuntamiento de Utrera, en un vídeo institucional divulgado a través de redes sociales, incluye la imagen del reclamante sin la autorización de este, manteniendo dicha publicación hasta el momento en que se le notifica la diligencia de inicio por denuncia por infracción penal; en ese momento, modifica el vídeo suprimiendo la imagen del reclamante.
Se dirige un APERCIBIMIENTO a Ayuntamiento por infracción del principio de "licitud, lealtad y transparencia" y por no disponer de base legitimadora de la publicación de las imágenes del reclamante.
Además, se le insta, dado que aún no se había realizado, al nombramiento de DPD y a su comunicación a la autoridad de control, así como a la publicación de su inventario de actividades de tratamiento.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE UTRERA Ver
RPS-3/2022 04/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • RGPD
  • 5.1.c)
  • 5.1.f)
  • Vulneración del principio de “minimización de datos”
  • Vulneración del principio de “seguridad y confidencialidad"
Se reclama contra el Ayuntamiento de Jaén por haberse publicado, sin ocultar el código seguro de verificación (CSV), copia de un documento correspondiente a la declaración de renta de una Concejal, lo que permitía el acceso al contenido del documento completo e íntegro por parte de terceros haciendo uso del mencionado CSV.
Se considera que se han infringido los principio de "minimización" y de "confidencialidad e integridad", al no disponerse de las medidas técnicas y organizativas adecuadas para evitar que se pudiera acceder al contenido íntegro del documentos por parte de terceros, y con ello, a datos personales que no habían de ser publicados. En consecuencia, se dirige un APERCIBIMIENTO a Ayuntamiento, y se le insta a que tome las medidas para evitar dicha circunstancia en el futuro.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE JAÉN Ver
RPS-5/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
La reclamación se realiza porque se ha recibido un expediente del juzgado, remitido a este desde el Servicio Andaluz de Salud (SAS), en el que, por error, se incluyen varias hojas de otro expediente, revelando datos personales de terceros.
Aunque se trata de un error puntual, no se termina de acreditar la existencia de medidas de seguridad formalmente establecidas en el procedimiento de remisión de la documentación al juzgado, si bien la incidencia es resuelta en cuanto se tiene conocimiento de la misma; se aporta información sobre las medidas a tomar en el futuro, pero sin que se acredite su implantación.
Se considera una infracción de artículo 32.1 RGPD (adopción de medidas para garantizar confidencialidad y disponibilidad) y sanciona con APERCIBIMIENTO, con la única medida adicional de que se acredite la puesta en marcha de las medidas que se decidió implantar.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-7/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • RGPD
  • 12
  • 13
  • Vulneración en relación a “la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado”
  • Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"
Se trata de una denuncia en relación con la cumplimentación de un formulario web relativo al Boletín Oficial de la Provincia de Cádiz. La gestión de la publicación y suscripciones del boletín la tiene contratada la Diputación Provincial con la Asociación de la Prensa de Cádiz. Aunque la página web del Boletín tiene la misma imagen que la de la Diputación, y se enlaza desde esta, hay un formulario de contacto que no coincide con el formulario de contacto que se ofrece en la página principal: se informa de un responsable distinto y de unas finalidades distintas; pero esta información que se ofrece contradice además el apartado sobre protección de datos que aparece en el "Aviso Legal" accesible a pie de página.
En el transcurso del procedimiento, el responsable subsana bastantes elementos que figuraban de forma incorrecta o se omitían, pero no lo hace de forma completa.
Se sanciona con un APERCIBIMIENTO por una infracción leve motivada por la falta de transparencia en la información a los usuarios en relación con el tratamiento así como de no informar de todas las cuestiones a que hacer referencia el artículo 13 RGPD; como medida adicional se insta a terminar de ajustar adecuadamente la información.
APERCIBIMIENTO ENTIDADES LOCALES DIPUTACIÓN PROVINCIAL DE CÁDIZ Ver
RPS-9/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación por acceso inadecuado a historia clínica. El Servicio Andaluz de Salud (SAS), tras recibir la reclamación, abre un procedimiento interno que le lleva a abrir 4 expedientes disciplinarios; en tres se concluía que los accesos eran correctos, pero el cuarto no finalizó, por lo que no se terminó de acreditar la validez de todos los accesos, considerándose que ha existido una infracción en relación al artículo 32.1 RGPD por el no funcionamiento adecuado de las medidas de seguridad establecidas.
Se dirige un APERCIBIMIENTO al responsable del tratamiento, sin medidas adicionales, dado que existe constancia de información al personal en la materia, de la existencia de medidas de seguridad y además se abrieron los expedientes disciplinarios correspondientes.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-10/2022 04/03/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 5.1.c)
  • 5.1.f)
  • Vulneración del principio de “minimización de datos”
  • Vulneración del principio de “seguridad y confidencialidad"
Se denuncia a la Universidad de Almería, por difusión indebida de datos en un proceso de solicitud de acceso a información pública. En el proceso de trámite de audiencia a los interesados, se considera que la Universidad facilitó más datos de los debidos de la persona que solicitaba el acceso a la información, vulnerándose los principios de "minimización" y "seguridad y confidencialidad".
Se dirige un APERCIBIMIENTO a órgano reclamado, sin medidas adicionales, dado que existe constancia de medidas tomadas por el organismo para intentar evitar incidencias similares en el futuro.
APERCIBIMIENTO UNIVERSIDADES PÚBLICAS UNIVERSIDAD DE ALMERÍA Ver
RPS-11/2022 07/03/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 6
  • Vulneración de la "Licitud del tratamiento"
Se denuncia al Ayuntamiento de Torredonjimeno por la difusión en un Pleno de unos mensajes de whatsapp que afectaban al reclamante y que le habían llegado al Alcalde, habiéndose opuesto el reclamante expresamente a dicha difusión. Además, dicha difusión se realizó a través de redes sociales al poderse acceder al contenido del Pleno. Se considera que se ha producido una vulneración relativa a la legitimidad del tratamiento realizado (artículo 6 RGPD), dirigiéndose un APERCIBIMIENTO al órgano reclamado, con dos medidas adicionales: la supresión en los vídeos del Pleno publicado de la parte donde se reproducen los mensajes y, dado que se ha constatado que el Ayuntamiento no publica su inventario de actividades de tratamiento, que proceda a su publicación. APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE TORREDONJIMENO Ver
RPS-13/2022 12/04/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • RGPD
  • 6
  • 9
  • Vulneración de la "Licitud del tratamiento"
  • Vulneración en relación al "tratamiento de categorías especiales de datos personales"
La reclamación se realiza contra el Ayuntamiento de Utrera por facilitar a un tercero datos personales de la reclamante y de familiares sin contar con el consentimiento de estos. La comunicación de datos ser realiza previa solicitud del tercero al Ayuntamiento con el objeto de aportar dichos datos a un proceso judicial, pero sin que hubiera sido el juzgado correspondiente el que hubiera solicitado la información.
Se dirige un APERCIBIMIENTO a Ayuntamiento por no disponer de base legitimadora para la comunicación de datos al tercero ni de condición que levante la prohibición de comunicar los datos de categoría especial que facilitó a dicho tercero.
Además, se le insta, dado que aún no se había realizado, al nombramiento de DPD y su comunicación de DPD a la autoridad de control.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE UTRERA Ver
RPS-15/2022 20/04/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 29
  • Vulneración en relación al "Tratamiento bajo la autoridad del responsable o del encargado del tratamiento"
El reclamante denuncia que cierto personal sanitario que no formaba parte de su proceso asistencial ha accedido a su historia clínica y ha divulgado datos de la misma. Se constata por parte del SAS la existencia e dichos accesos e inicia el correspondiente expediente disciplinario contra el personal que ha realizado los mismos.
Se dirige un APERCIBIMIENTO al órgano incoado por el quebrantamiento por parte del personal del mismo de las medidas de seguridad implantadas, y se insta a concluir el correspondiente expediente disciplinario.
APERCIBIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver
RPS-12/2022 28/03/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
El reclamante, personal del propio Ayuntamiento, denuncia que se le han hecho llegar notificaciones personales permitiendo el acceso a los datos a terceras personas. Dado que el sistema utilizado por el Ayuntamiento no cumple con las medidas de seguridad necesarias para guardar la necesaria confidencialidad sobre los datos, se dirige un APERCIBIMIENTO a mismo por los hechos mencionados.
Además, se le insta, dado que aún no se había realizado, al nombramiento de DPD y a su comunicación a la autoridad de control, así como a la publicación de su inventario de actividades de tratamiento.
APERCIBIMIENTO ENTIDADES LOCALES AYUNTAMIENTO DE LAS CABEZAS DE SAN JUAN Ver
RPS-4/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se reclama porque desde un órgano territorial de la Consejería de Educación y Deporte se remite un certificado de estudios de modo que, a través del código seguro de verificación (CSV) de la firma electrónica del documento es posible acceder a datos personales no solo de la persona que recibía el certificado, sino de todas aquellas que figuraban en el documento que se había firmado conjuntamente. Desde la Consejería se indica, aportando el Registro de Actividades de Tratamiento, que el responsable del correspondiente tratamiento es la Dirección General de Ordenación y Evaluación Educativa. No obstante, una vez iniciado el procedimiento sancionador contra el mencionado centro directivo por la vulneración del artículo 32.1 RGPD por la falta de aplicación de adecuadas medidas técnicas y organizativas, se llega a constatar, dado que desde la Consejería se modifica el criterio en relación con la responsabilidad de la operación de tratamiento objeto de la infracción, que la responsabilidad sobre la infracción cometida recaía en el órgano provincial.
Se sobresee el expediente contra la Dirección General y no cabe iniciar nuevo expediente contra el órgano provincial por la prescripción de la infracción.
No obstante, en la resolución se insta a la Consejería de Educación y Deporte a que determine claramente en su Registro de Actividades de Tratamiento quién o quiénes son los responsables de la operación de tratamiento que supone la certificación de los estudios realizados y en qué tratamiento o tratamientos está incluida dicha operación.
ARCHIVO JUNTA DE ANDALUCÍA CONSEJERÍA DE EDUCACIÓN Y DEPORTE Ver
RPS-6/2022 14/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 28
  • Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento
Se denuncia, por noticias aparecidas en prensa, que el Ayuntamiento de Jaén anuncia un convenio con una empresa para 'adecentar' locales y ordenar documentación responsabilidad del Ayuntamiento. La persona reclamante considera que la empresa podría estar accediendo sin las debidas garantías a dicha documentación, vulnerándose por tanto lo establecido en la normativa de protección de datos.
En la instrucción del procedimiento no se llega a constatar, en relación con el convenio anunciado, que realmente se realizaran los trabajos. Al no constatarse la existencia de un tercero encomendado por el Ayuntamiento para hacer los trabajos, ni que esos trabajos se hubieran hecho, se considera que ha de archivarse el expediente sancionador.
No obstante, sí se ha constatado la absoluta falta de colaboración del Ayuntamiento en la resolución del procedimiento al no remitir al Consejo ninguna información ni documentación solicitadas. Consecuencia de ello, la resolución ordena el inicio de un expediente para iniciar un posible expediente sancionador contra el Ayuntamiento por falta de colaboración con la autoridad de control.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE JAÉN Ver
RPS-8/2022 24/02/2022
  • PROCEDIMIENTO SANCIONADOR
  • RGPD
  • 32.1
  • Falta de aplicación de adecuadas medidas técnicas y organizativas
Se trata de una reclamación por la publicación en Internet de un listado de personas por parte del Ayuntamiento de Málaga, incluyendo nombre y DNI completos, incumpliendo la DA 7ª LOPDGDD en relación con la identificación de interesados en notificaciones por medio de anuncios y publicaciones de actos administrativos. El Ayuntamiento detecta rápidamente el error y lo corrige.
En la instrucción del procedimiento se ha acreditado la existencia de medidas previas en relación con el cumplimiento de la normativa de protección de datos, en este caso relacionadas con la necesaria información al personal sobre la publicación de este tipo de listados, y se propone el sobreseimiento dado que se considera que ha existido ha sido un error puntual subsanado de forma inmediata.
ARCHIVO ENTIDADES LOCALES AYUNTAMIENTO DE MÁLAGA Ver
RED-7/2020 30/12/2020
  • EJERCICIO DE DERECHOS
  • RGPD
  • 15
  • Derecho de acceso
Reclamación por inadecuada atención al EJERCICIO DE DERECHO de acceso a datos personales por el Servicio Andaluz de Salud. Se procede a declarar la pérdida sobrevenida del objeto de la reclamación y, consiguientemente, la terminación del procedimiento, en la medida en que el Servicio Andaluz de Salud ha dado respuesta a la solicitud formulada a partir de la intervención del Delegado de Protección de Datos. DECLARACIÓN DE TERMINACIÓN DEL PROCEDIMIENTO JUNTA DE ANDALUCÍA SAS (SERVICIO ANDALUZ DE SALUD) Ver