Buscar Resoluciones en materia de protección de datos

Nº	Fecha	Tipológia	Ley	Art	Párrafo	Resumen	Sentido	Ámbito	Órgano	Ficha
RPS-2023/012	24/11/2023	PROCEDIMIENTO SANCIONADOR	RGPD	5.1.f) 32.1	Vulneración del principio de “integridad y confidencialidad" Falta de aplicación de adecuadas medidas técnicas y organizativas	Se reclama la tenencia de un certificado del Ayuntamiento de Guillena en manos de un tercero figurando los datos personales de la persona reclamante. Tras un periodo de actuaciones previas de investigación, no quedó acreditado a este Consejo la implementación por parte del órgano reclamado de medidas de seguridad técnicas y organizativas en el momento de producirse los hechos objeto de la reclamación, ni la adopción de medidas posteriores para evitar posibles incidencias similares en el futuro, y es por eso por lo que se inició procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones. Se dirige un APERCIBIMIENTO al Ayuntamiento de Guillena por infracción de los artículos 5.1.f) y 32.1 RGPD, tipificadas en los artículos 83.5.a) y 83.4.a) RGPD, imponiendo como medida adicional, que se informe al Consejo en el plazo de un mes desde la notificación de la resolución, sobre la implantación y desarrollo de las medidas puestas en marcha por el Ayuntamiento en relación con el tratamiento objeto de la reclamación a los efectos de garantizar la confidencialidad de los datos personales.	APERCIBIMIENTO	ENTIDADES LOCALES	AYUNTAMIENTO DE GUILLENA	Ver
RPS-2023/013	24/11/2023	PROCEDIMIENTO SANCIONADOR	RGPD	37	Falta la designación del delegado de protección de datos (DPD)	Se reclama la falta de designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control por parte del Ayuntamiento de Camas. El Ayuntamiento de Camas alegó que estaba tramitando un contrato de servicios de protección de datos y Delegado de Protección de Datos y que, una vez adjudicado el mismo, será designado el Delegado de Protección de Datos y notificado puntualmente al Consejo. Asimismo, alegó que, el 16 de marzo de 2023, se dictó Decreto de Alcaldía, por el que se designaba provisionalmente, y hasta la adjudicación del referido contrato, a un funcionario para el cumplimiento de las funciones de Delegado de Protección de Datos. Sin embargo, en la medida en que la designación del Delegado de Protección de Datos es obligatoria desde el 2018 y que no es hasta el 16 de marzo de 2023, tras distintos requerimientos desde el Consejo, cuando se designó a un Delegado de Protección de Datos, incumplió el mencionado artículo 37 RGPD. Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones. Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Camas por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) RGPD, y se insta a cumplir todos los extremos y con todos los datos necesarios la obligación a la que se refiere el artículo 34.3 LOPDGDD.	APERCIBIMIENTO	ENTIDADES LOCALES	AYUNTAMIENTO DE CAMAS	Ver
RPS-2023/011	07/11/2023	PROCEDIMIENTO SANCIONADOR	RGPD	37	Falta la designación del delegado de protección de datos (DPD)	Como parte de las actuaciones llevadas a cabo desde el Consejo de Transparencia y Protección de Datos para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como Autoridad de Control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control, en particular, al Ayuntamiento de Canena, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa. Este Consejo constató que, el Ayuntamiento de Canena ya había designado a una persona para ejercer las funciones del Delegado de Protección de Datos; designación que comunicó a esta Autoridad de Control el mismo día de la firma del acuerdo de inicio del procedimiento sancionador. Por ello, se declara el ARCHIVO del procedimiento sancionador y, consiguientemente, la terminación del procedimiento, como consecuencia de la desaparición sobrevenida del objeto, en la medida en que el Ayuntamiento de Canena había dado cumplimiento a la necesaria designación de un Delegado de Protección de Datos en el momento de inicio del mismo.	ARCHIVO	ENTIDADES LOCALES	AYUNTAMIENTO DE CANENA	Ver
RPS-2023/010	17/10/2023	PROCEDIMIENTO SANCIONADOR	RGPD	37	Falta la designación del delegado de protección de datos (DPD)	Como parte de las actuaciones llevadas a cabo desde el Consejo de Transparencia y Protección de Datos para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como Autoridad de Control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control, en particular, al Ayuntamiento de Linares, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa. El Ayuntamiento de Linares no realizo el nombramiento de un Delegado de Protección de Datos, a pesar de los múltiples requerimiento por parte de este Consejo para que lo efectuase, y es por eso por lo que se inició procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones. Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Linares por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) RGPD, y como medida se impone que en el plazo de un mes a partir de la notificación de la resolución, por parte del órgano apercibido, se acredite ante este Consejo la designación de un Delegado de Protección de Datos.	APERCIBIMIENTO	ENTIDADES LOCALES	AYUNTAMIENTO DE LINARES	Ver
RPS-2023/008	06/07/2023	PROCEDIMIENTO SANCIONADOR	RGPD	32.1	Falta de aplicación de adecuadas medidas técnicas y organizativas	Se reclama que se han entregado por parte del Ayuntamiento de Villanueva del Río y Minas copia de Decretos de Alcaldía sin anonimizar donde se incluía el nombre, los apellidos, el DNI completo y la dirección de los ciudadanos que se habían dirigido al Ayuntamiento. Tras un periodo de actuaciones previas de investigación, no quedó acreditado a este Consejo, la implementación por parte del órgano reclamado de medidas de seguridad técnicas y organizativas en el momento de producirse los hechos objeto de la reclamación, sin perjuicio de la adopción posterior de las mismas con el fin de evitar incidencias similares en el futuro, y es por eso por lo que se inició procedimiento sancionador. Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones. Se dirige un APERCIBIMIENTO al Ayuntamiento de Villanueva del Río y Minas por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD; si bien no se dictan medidas específicas dado que ya se habían adoptado con por el órgano reclamado.	APERCIBIMIENTO	ENTIDADES LOCALES	AYUNTAMIENTO DE VILLANUEVA DEL RIO Y MINAS	Ver
RPS-2023/007	18/05/2023	PROCEDIMIENTO SANCIONADOR	RGPD	6 13	Vulneración de la "Licitud del tratamiento" Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"	Se trata de una reclamación contra un centro educativo de la Consejería de Educación y Desarrollo Educativo en relación las grabaciones en audio de las sesiones correspondientes a las reuniones de un Departamento didáctico sin haberse abordado con carácter previo modificación alguna del Reglamento de Organización y Funcionamiento del Plan de Centro, a fin de dotar a dichas actuaciones de las necesarias garantías, establecidas en el RGPD. Al respecto, en el seno de la instrucción del expediente sancionador, el órgano reclamado en sus alegaciones al acuerdo de inicio manifiesta, en síntesis, que con base en la normativa de organización y funcionamiento de centros educativos no se considera que se haya incurrido en falta de información a las personas integrantes del departamento sobre el hecho de que se vaya a realizar la grabación de una determinada sesión y, en relación a licitud del tratamiento, el órgano reclamado entiende que se considera que el centro docente y la Administración educativa están legitimados para recabar y tratar los datos personales, conforme a lo dispuesto en artículo 6.1, letras c) y e) del RGPS y los artículos 15 a 18 de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público. Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación. El procedimiento concluye con un APERCIBIMIENTO por las infracciones de los artículos 6 y 13 del RGPD, ya que el Consejo considera que no ha quedado acreditado que el centro docente informara a los miembros del Departamento asistentes a las sesiones de que éstas iban a ser grabadas y tampoco ha quedado acreditado que se les informara de los extremos exigidos por el artículo 13 del RGPD. Asimismo, el Consejo evidencia que el órgano reclamado ha realizado un tratamiento ilícito de datos personales, consistente en la grabación de audio de las sesiones del Departamento, al no cumplir el citado tratamiento con alguna de las condiciones establecidas en el artículo 6.1 del RGPD.	APERCIBIMIENTO	JUNTA DE ANDALUCÍA	CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL	Ver
RPS-2023/006	24/04/2023	PROCEDIMIENTO SANCIONADOR	RGPD	32.1	Falta de aplicación de adecuadas medidas técnicas y organizativas	Se reclama la cesión a terceros de los datos de carácter personal del representante de un Club Ciclista parte del Ayuntamiento de San Roque sin informarle previamente ni solicitar su consentimiento. Notificada la propuesta de resolución al órgano reclamado, entre otras cuestiones, alega que la comunicación de datos reclamada es una actividad de tratamiento legítima, y para ello defiende que “Consta asimismo acreditado en el expediente el consentimiento del denunciante para el tratamiento de sus datos personales, para la actividad de tratamiento referida”, así como que “la comunicación de los datos sí fue autorizada por el interesado desde el momento que presenta su solicitud y acepta que sus datos serán tratados para la tramitación del expediente”. El Consejo en ningún momento ha puesto en duda la licitud de la actividad del tratamiento, lo cual no implica que la misma deba cumplir con el resto de principios exigidos por la normativa de protección de datos, entre ellos el principio que garantice que se traten exclusivamente los datos necesarios para garantizar la finalidad para la que se recogieron los datos objeto de reclamación. Asimismo, comprobó este organismo que en la “Instancia General” que cumplimentó el representante legal del reclamante, en el apartado relativo al “Consentimiento y Deber de Informar a los Interesados sobre Protección de Datos” éste, simplemente marcó una casilla donde afirma que se le informa de que la Entidad va a tratar y guardar los datos aportados para la realización de actuaciones administrativas y que la finalidad del tratamiento era “tramitar procedimientos y actuaciones administrativas”, lo cual, no implica que otorgara el consentimiento, tal como alega el órgano reclamado. Por otro lado, vuelve a alegarse que los datos que fueron comunicados a terceros eran meramente identificativos, no incluidos en los especialmente protegidos, y además manifiestamente públicos. Al respecto, este Consejo considera que el hecho de que la identidad del representante legal del reclamante pudiera ser conocida en algunos ámbitos o pudiera, fácilmente, accederse a la misma a través de búsquedas en Internet, no legitima al Ayuntamiento a poder comunicar datos personales a terceros que no son pertinentes ni necesarios para la finalidad perseguida con dicha comunicación. Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de San Roque por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD.	APERCIBIMIENTO	ENTIDADES LOCALES	AYUNTAMIENTO DE SAN ROQUE	Ver
RED-2023/010	29/03/2023	EJERCICIO DE DERECHOS	RGPD	17	Derecho de supresión	Reclamación por falta de respuesta al EJERCICIO DE DERECHO de supresión ejercitado por la persona reclamante por parte de la Consejería de Turismo, Regeneración, Justicia y Administración Local en relación con la no publicación de su teléfono móvil y su correo electrónico personal en el “Buscador de Establecimientos y Servicios Turísticos. En el transcurso de la tramitación ha quedado acreditado que el órgano reclamado desestimó la solicitud de la persona reclamante alegando que los datos personales de la persona reclamante siguen siendo necesarios para los fines para los que fueron recogidos. Sin embargo, entiende este Consejo que la respuesta dada por el órgano reclamado a la persona reclamante no responde a la pretensión de ésta que, exclusivamente, solicita que su teléfono móvil y su correo electrónico personal que aparecen en el “Buscador de Establecimientos y Servicios Turísticos. Por ello, SE ESTIMA la reclamación contra el responsable del tratamiento, y se insta a la la Dirección General de Calidad, Innovación y Fomento del Turismo (adscrita orgánicamente a la Consejería Turismo, Cultura y Deporte) a ofrecer la adecuada respuesta al derecho de supresión ejercicio por la personal reclamante.	ESTIMADA	JUNTA DE ANDALUCÍA	CONSEJERÍA TURISMO, CULTURA Y DEPORTE	Ver
RED-2023/011	29/03/2023	EJERCICIO DE DERECHOS	RGPD	15	Derecho de acceso	Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ante el Ayuntamiento de Vélez Rubio en relación con el acceso a un expediente relacionado con una denuncia de tráfico. En el transcurso de la tramitación, tras la remisión al Delegado de Protección de Datos de la reclamación, y en el plazo de un mes que otorga la normativa, desde el Ayuntamiento se da respuesta a la persona reclamante en relación con el ejercicio de derechos solicitado. Por ello, se declara la pérdida sobrevenida del objeto de la reclamación y, consiguientemente, la terminación del procedimiento, en la medida en que el Ayuntamiento dio adecuada respuesta a la solicitud formulada por la persona reclamante.	DECLARACIÓN DE TERMINACIÓN DEL PROCEDIMIENTO	ENTIDADES LOCALES	AYUNTAMIENTO DE VÉLEZ-RUBIO	Ver
RED-2023/008	22/03/2023	EJERCICIO DE DERECHOS	RGPD	15	Derecho de acceso	Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ejercitado por la persona reclamante por parte de la Consejería de Educación y Deporte (Delegación Territorial, centro educativo). En el transcurso de la tramitación ha quedado acreditado que el órgano reclamado contestó a la persona reclamante, sin embargo, una vez analizada la resolución como respuesta al ejercicio de derechos a la persona denunciante, este Consejo pudo verificar que en la misma no se le informó específicamente en relación con los extremos exigidos por el artículo 15 RGPD. Por ello, se ESTIMA la reclamación y se insta a la Consejería de Desarrollo Educativo y Formación Profesional (Delegación Territorial, centro educativo), para que remita a la parte reclamante respuesta completa al derecho de acceso ejercitado en relación con los datos personales de la persona reclamante.	ESTIMADA	JUNTA DE ANDALUCÍA	CONSEJERÍA DE EDUCACIÓN Y DEPORTE	Ver
RED-2023/009	21/03/2023	EJERCICIO DE DERECHOS	RGPD	15	Derecho de acceso	Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ejercitado por la persona reclamante por parte de la Fundación Ciudades Medias Centro de Andalucía en relación con los datos personales para la creación de una bolsa de trabajo. En el transcurso de la tramitación ha quedado acreditado que finalmente, fuera del plazo legalmente establecido, la persona reclamante recibió nueva contestación por parte del órgano reclamado al derecho de acceso ejercitado, facilitándole, en esta ocasión, copia de sus datos personales y se le informaba que no poseían otros datos personales ya que la Fundación no guardó otra información personal ni se tomaron datos personales más allá de los ya indicados y puestos a su disposición. Por ello, se ESTIMA POR MOTIVOS FORMALES la reclamación sin que proceda instar a otra actuación al órgano reclamado.	ESTIMADA	ENTIDADES LOCALES	FUNDACIÓN CIUDADES MEDIAS DEL CENTRO DE ANDALUCÍA	Ver
RPS-2023/005	21/03/2023	PROCEDIMIENTO SANCIONADOR	RGPD	28	Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento	Se reclama la instalación de una aplicación por parte del Consorcio Provincial de Bomberos de Málaga, cuyo uso podría no contar con las garantías necesarias sobre protección de datos de carácter personal. El órgano reclamado no formuló alegaciones y se dirigió un APERCIBIMIENTO al Consorcio Provincial de Bomberos de Málaga por infracción del artículo 28 RGPD, tipificada en el artículo 83.4.a) RGPD por encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28 RGPD. Asimismo, se insta al Consorcio Provincial de Bomberos de Málaga a que establezca o regularice un vínculo jurídico con la empresa responsable del tratamiento que de cumplimento a lo establecido en el artículo 28.3 RGPD. Además, deberá hacer público el inventario de sus actividades de tratamiento de acuerdo con lo dispuesto en el artículo 6bis LTAIBG. El plazo otorgado para estas actuaciones será de un mes desde la notificación de la presente resolución, debiendo dar cuenta al Consejo, en el mismo plazo, de lo realizado.	APERCIBIMIENTO	ENTIDADES LOCALES	CONSORCIO PROVINCIAL DE BOMBEROS DE MÁLAGA	Ver
RPS-2023/004	13/03/2023	PROCEDIMIENTO SANCIONADOR	RGPD	28	Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento	Se reclama la publicación de imágenes en redes sociales de una persona menor por parte del personal de un Centro educativo. El órgano reclamado, entre otras cuestiones, alega que el Pliego de Clausulas Administrativas Particulares (PCAP) tipo contempla determinadas obligaciones respecto de la protección de datos en su Anexo XXV, modelo de acuerdo de confidencialidad y en su Anexo XXVI, modelo del tratamiento de datos, todo ello en cumplimiento del RGPD y a la LOPDGDD. Sin embargo, entiende este Consejo que sin perjuicio de que en el modelo de PCAP tipo se hiciera referencia al tratamiento de datos personales, ni en el contrato ni en sus distintas prórrogas suscritas entre la Consejería de Igualdad, Políticas Sociales y Conciliación y la Entidad se regulaba el acceso de ésta a los datos personales responsabilidad del órgano reclamado cumpliendo todos los requisitos exigidos por el artículo 28 RGPD. Por ello, se dirige un apercibimiento a la Dirección General de Infancia, Adolescencia y Juventud (Consejería de Inclusión Social, Juventud, Familias e Igualdad) por infracción del artículo 28 RGPD.	APERCIBIMIENTO	JUNTA DE ANDALUCÍA	CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN	Ver
RPS-2023/003	10/03/2023	PROCEDIMIENTO SANCIONADOR	RGPD	32	Falta de aplicación de adecuadas medidas técnicas y organizativas	Se reclama el envío de un correo electrónico, adjuntando convocatoria a la Mesa General de Negociación, sin ocultar las direcciones de las personas destinatarias, representantes sindicales, entre las que se incluía alguna dirección de correo personal (no corporativa) y que resultó accesible por todos los destinatarios. Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación. Por ello, se dirigió un APERCIBIMIENTO al Ayuntamiento de Sanlúcar la Mayor, por la infracción del artículo 32 RGPD, tipificada en el artículo 83.4.a) RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales y evitar la divulgación a terceros. Como medida adicional se insta al Ayuntamiento la implantación y desarrollo de las medidas en relación con el tratamiento objeto de la reclamación, así como que se publique el inventario de actividades de tratamiento en la página web del Ayuntamiento.	APERCIBIMIENTO	ENTIDADES LOCALES	AYUNTAMIENTO DE SANLÚCAR LA MAYOR	Ver
RED-2023/006	09/03/2023	EJERCICIO DE DERECHOS	RGPD	15	Derecho de acceso	Reclamación por falta de respuesta al EJERCICIO DE DERECHO de acceso ejercitado por la persona reclamante por parte de un centro educativo (Consejería de Educación y Deporte). A pesar de haber sido requerido en reiteradas ocasiones al órgano reclamado no ha quedado acreditado que el centro educativo diera respuesta a la persona reclamante, en el plazo que establece la normativa de protección de datos personales, ni posteriormente, a los tres derechos de acceso ejercitados por ésta. Por ello, se ESTIMA la reclamación contra el responsable del tratamiento, el centro educativo (Consejería de Desarrollo Educativo y Formación Profesional), instándole a ofrecer la adecuada respuesta al derecho de acceso ejercicio por la reclamante.	ESTIMADA	JUNTA DE ANDALUCÍA	CONSEJERÍA DE EDUCACIÓN Y DEPORTE	Ver

Resumen

Sentido

Ámbito

Órgano

Ficha

RPS-2023/012

24/11/2023

PROCEDIMIENTO SANCIONADOR

RGPD

5.1.f)
32.1

Vulneración del principio de “integridad y confidencialidad"
Falta de aplicación de adecuadas medidas técnicas y organizativas

Se reclama la tenencia de un certificado del Ayuntamiento de Guillena en manos de un tercero figurando los datos personales de la persona reclamante.
Tras un periodo de actuaciones previas de investigación, no quedó acreditado a este Consejo la implementación por parte del órgano reclamado de medidas de seguridad técnicas y organizativas en el momento de producirse los hechos objeto de la reclamación, ni la adopción de medidas posteriores para evitar posibles incidencias similares en el futuro, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Se dirige un APERCIBIMIENTO al Ayuntamiento de Guillena por infracción de los artículos 5.1.f) y 32.1 RGPD, tipificadas en los artículos 83.5.a) y 83.4.a) RGPD, imponiendo como medida adicional, que se informe al Consejo en el plazo de un mes desde la notificación de la resolución, sobre la implantación y desarrollo de las medidas puestas en marcha por el Ayuntamiento en relación con el tratamiento objeto de la reclamación a los efectos de garantizar la confidencialidad de los datos personales.

APERCIBIMIENTO

ENTIDADES LOCALES

AYUNTAMIENTO DE GUILLENA

Ver

RPS-2023/013

24/11/2023

PROCEDIMIENTO SANCIONADOR

RGPD

Falta la designación del delegado de protección de datos (DPD)

Se reclama la falta de designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control por parte del Ayuntamiento de Camas.
El Ayuntamiento de Camas alegó que estaba tramitando un contrato de servicios de protección de datos y Delegado de Protección de Datos y que, una vez adjudicado el mismo, será designado el Delegado de Protección de Datos y notificado puntualmente al Consejo. Asimismo, alegó que, el 16 de marzo de 2023, se dictó Decreto de Alcaldía, por el que se designaba provisionalmente, y hasta la adjudicación del referido contrato, a un funcionario para el cumplimiento de las funciones de Delegado de Protección de Datos.
Sin embargo, en la medida en que la designación del Delegado de Protección de Datos es obligatoria desde el 2018 y que no es hasta el 16 de marzo de 2023, tras distintos requerimientos desde el Consejo, cuando se designó a un Delegado de Protección de Datos, incumplió el mencionado artículo 37 RGPD.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Camas por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) RGPD, y se insta a cumplir todos los extremos y con todos los datos necesarios la obligación a la que se refiere el artículo 34.3 LOPDGDD.

APERCIBIMIENTO

ENTIDADES LOCALES

AYUNTAMIENTO DE CAMAS

Ver

RPS-2023/011

07/11/2023

PROCEDIMIENTO SANCIONADOR

RGPD

Falta la designación del delegado de protección de datos (DPD)

Como parte de las actuaciones llevadas a cabo desde el Consejo de Transparencia y Protección de Datos para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como Autoridad de Control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control, en particular, al Ayuntamiento de Canena, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
Este Consejo constató que, el Ayuntamiento de Canena ya había designado a una persona para ejercer las funciones del Delegado de Protección de Datos; designación que comunicó a esta Autoridad de Control el mismo día de la firma del acuerdo de inicio del procedimiento sancionador.
Por ello, se declara el ARCHIVO del procedimiento sancionador y, consiguientemente, la terminación del procedimiento, como consecuencia de la desaparición sobrevenida del objeto, en la medida en que el Ayuntamiento de Canena había dado cumplimiento a la necesaria designación de un Delegado de Protección de Datos en el momento de inicio del mismo.

ARCHIVO

ENTIDADES LOCALES

AYUNTAMIENTO DE CANENA

Ver

RPS-2023/010

17/10/2023

PROCEDIMIENTO SANCIONADOR

RGPD

Falta la designación del delegado de protección de datos (DPD)

Como parte de las actuaciones llevadas a cabo desde el Consejo de Transparencia y Protección de Datos para el fomento del cumplimiento de la normativa de protección de datos personales, en virtud de su competencia como Autoridad de Control en la materia, se realizaron diversos requerimientos a ayuntamientos de Andalucía en relación con la necesaria designación de Delegado de Protección de Datos (DPD) y su comunicación a la Autoridad de Control, en particular, al Ayuntamiento de Linares, con la advertencia de que no dar cumplimiento a dichas obligaciones podría suponer una infracción de la mencionada normativa.
El Ayuntamiento de Linares no realizo el nombramiento de un Delegado de Protección de Datos, a pesar de los múltiples requerimiento por parte de este Consejo para que lo efectuase, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de Linares por infracción del artículo 37 RGPD, tipificada en el artículo 83.4.a) RGPD, y como medida se impone que en el plazo de un mes a partir de la notificación de la resolución, por parte del órgano apercibido, se acredite ante este Consejo la designación de un Delegado de Protección de Datos.

APERCIBIMIENTO

ENTIDADES LOCALES

AYUNTAMIENTO DE LINARES

Ver

RPS-2023/008

06/07/2023

PROCEDIMIENTO SANCIONADOR

RGPD

32.1

Falta de aplicación de adecuadas medidas técnicas y organizativas

Se reclama que se han entregado por parte del Ayuntamiento de Villanueva del Río y Minas copia de Decretos de Alcaldía sin anonimizar donde se incluía el nombre, los apellidos, el DNI completo y la dirección de los ciudadanos que se habían dirigido al Ayuntamiento.
Tras un periodo de actuaciones previas de investigación, no quedó acreditado a este Consejo, la implementación por parte del órgano reclamado de medidas de seguridad técnicas y organizativas en el momento de producirse los hechos objeto de la reclamación, sin perjuicio de la adopción posterior de las mismas con el fin de evitar incidencias similares en el futuro, y es por eso por lo que se inició procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste, no presentó alegaciones.
Se dirige un APERCIBIMIENTO al Ayuntamiento de Villanueva del Río y Minas por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD; si bien no se dictan medidas específicas dado que ya se habían adoptado con por el órgano reclamado.

APERCIBIMIENTO

ENTIDADES LOCALES

AYUNTAMIENTO DE VILLANUEVA DEL RIO Y MINAS

Ver

RPS-2023/007

18/05/2023

PROCEDIMIENTO SANCIONADOR

RGPD

Vulneración de la "Licitud del tratamiento"
Vulneración en relación “la información que deberá facilitarse cuando los datos personales se obtengan del interesado"

Se trata de una reclamación contra un centro educativo de la Consejería de Educación y Desarrollo Educativo en relación las grabaciones en audio de las sesiones correspondientes a las reuniones de un Departamento didáctico sin haberse abordado con carácter previo modificación alguna del Reglamento de Organización y Funcionamiento del Plan de Centro, a fin de dotar a dichas actuaciones de las necesarias garantías, establecidas en el RGPD.
Al respecto, en el seno de la instrucción del expediente sancionador, el órgano reclamado en sus alegaciones al acuerdo de inicio manifiesta, en síntesis, que con base en la normativa de organización y funcionamiento de centros educativos no se considera que se haya incurrido en falta de información a las personas integrantes del departamento sobre el hecho de que se vaya a realizar la grabación de una determinada sesión y, en relación a licitud del tratamiento, el órgano reclamado entiende que se considera que el centro docente y la Administración educativa están legitimados para recabar y tratar los datos personales, conforme a lo dispuesto en artículo 6.1, letras c) y e) del RGPS y los artículos 15 a 18 de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público.
Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación.
El procedimiento concluye con un APERCIBIMIENTO por las infracciones de los artículos 6 y 13 del RGPD, ya que el Consejo considera que no ha quedado acreditado que el centro docente informara a los miembros del Departamento asistentes a las sesiones de que éstas iban a ser grabadas y tampoco ha quedado acreditado que se les informara de los extremos exigidos por el artículo 13 del RGPD. Asimismo, el Consejo evidencia que el órgano reclamado ha realizado un tratamiento ilícito de datos personales, consistente en la grabación de audio de las sesiones del Departamento, al no cumplir el citado tratamiento con alguna de las condiciones establecidas en el artículo 6.1 del RGPD.

APERCIBIMIENTO

JUNTA DE ANDALUCÍA

CONSEJERÍA DE DESARROLLO EDUCATIVO Y FORMACIÓN PROFESIONAL

Ver

RPS-2023/006

24/04/2023

PROCEDIMIENTO SANCIONADOR

RGPD

32.1

Falta de aplicación de adecuadas medidas técnicas y organizativas

Se reclama la cesión a terceros de los datos de carácter personal del representante de un Club Ciclista parte del Ayuntamiento de San Roque sin informarle previamente ni solicitar su consentimiento.
Notificada la propuesta de resolución al órgano reclamado, entre otras cuestiones, alega que la comunicación de datos reclamada es una actividad de tratamiento legítima, y para ello defiende que “Consta asimismo acreditado en el expediente el consentimiento del denunciante para el tratamiento de sus datos personales, para la actividad de tratamiento referida”, así como que “la comunicación de los datos sí fue autorizada por el interesado desde el momento que presenta su solicitud y acepta que sus datos serán tratados para la tramitación del expediente”. El Consejo en ningún momento ha puesto en duda la licitud de la actividad del tratamiento, lo cual no implica que la misma deba cumplir con el resto de principios exigidos por la normativa de protección de datos, entre ellos el principio que garantice que se traten exclusivamente los datos necesarios para garantizar la finalidad para la que se recogieron los datos objeto de reclamación. Asimismo, comprobó este organismo que en la “Instancia General” que cumplimentó el representante legal del reclamante, en el apartado relativo al “Consentimiento y Deber de Informar a los Interesados sobre Protección de Datos” éste, simplemente marcó una casilla donde afirma que se le informa de que la Entidad va a tratar y guardar los datos aportados para la realización de actuaciones administrativas y que la finalidad del tratamiento era “tramitar procedimientos y actuaciones administrativas”, lo cual, no implica que otorgara el consentimiento, tal como alega el órgano reclamado.
Por otro lado, vuelve a alegarse que los datos que fueron comunicados a terceros eran meramente identificativos, no incluidos en los especialmente protegidos, y además manifiestamente públicos. Al respecto, este Consejo considera que el hecho de que la identidad del representante legal del reclamante pudiera ser conocida en algunos ámbitos o pudiera, fácilmente, accederse a la misma a través de búsquedas en Internet, no legitima al Ayuntamiento a poder comunicar datos personales a terceros que no son pertinentes ni necesarios para la finalidad perseguida con dicha comunicación.
Por ello, se dirige un APERCIBIMIENTO al Ayuntamiento de San Roque por infracción del artículo 32.1 RGPD, tipificada en el artículo 83.4.a) RGPD.

APERCIBIMIENTO

ENTIDADES LOCALES

AYUNTAMIENTO DE SAN ROQUE

Ver

RED-2023/010

29/03/2023

EJERCICIO DE DERECHOS

RGPD

Derecho de supresión

Reclamación por falta de respuesta al EJERCICIO DE DERECHO de supresión ejercitado por la persona reclamante por parte de la Consejería de Turismo, Regeneración, Justicia y Administración Local en relación con la no publicación de su teléfono móvil y su correo electrónico personal en el “Buscador de Establecimientos y Servicios Turísticos. En el transcurso de la tramitación ha quedado acreditado que el órgano reclamado desestimó la solicitud de la persona reclamante alegando que los datos personales de la persona reclamante siguen siendo necesarios para los fines para los que fueron recogidos. Sin embargo, entiende este Consejo que la respuesta dada por el órgano reclamado a la persona reclamante no responde a la pretensión de ésta que, exclusivamente, solicita que su teléfono móvil y su correo electrónico personal que aparecen en el “Buscador de Establecimientos y Servicios Turísticos. Por ello, SE ESTIMA la reclamación contra el responsable del tratamiento, y se insta a la la Dirección General de Calidad, Innovación y Fomento del Turismo (adscrita orgánicamente a la Consejería Turismo, Cultura y Deporte) a ofrecer la adecuada respuesta al derecho de supresión ejercicio por la personal reclamante.

ESTIMADA

JUNTA DE ANDALUCÍA

CONSEJERÍA TURISMO, CULTURA Y DEPORTE

Ver

RED-2023/011

29/03/2023

EJERCICIO DE DERECHOS

RGPD

Derecho de acceso

Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ante el Ayuntamiento de Vélez Rubio en relación con el acceso a un expediente relacionado con una denuncia de tráfico. En el transcurso de la tramitación, tras la remisión al Delegado de Protección de Datos de la reclamación, y en el plazo de un mes que otorga la normativa, desde el Ayuntamiento se da respuesta a la persona reclamante en relación con el ejercicio de derechos solicitado. Por ello, se declara la pérdida sobrevenida del objeto de la reclamación y, consiguientemente, la terminación del procedimiento, en la medida en que el Ayuntamiento dio adecuada respuesta a la solicitud formulada por la persona reclamante.

DECLARACIÓN DE TERMINACIÓN DEL PROCEDIMIENTO

ENTIDADES LOCALES

AYUNTAMIENTO DE VÉLEZ-RUBIO

Ver

RED-2023/008

22/03/2023

EJERCICIO DE DERECHOS

RGPD

Derecho de acceso

Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ejercitado por la persona reclamante por parte de la Consejería de Educación y Deporte (Delegación Territorial, centro educativo). En el transcurso de la tramitación ha quedado acreditado que el órgano reclamado contestó a la persona reclamante, sin embargo, una vez analizada la resolución como respuesta al ejercicio de derechos a la persona denunciante, este Consejo pudo verificar que en la misma no se le informó específicamente en relación con los extremos exigidos por el artículo 15 RGPD. Por ello, se ESTIMA la reclamación y se insta a la Consejería de Desarrollo Educativo y Formación Profesional (Delegación Territorial, centro educativo), para que remita a la parte reclamante respuesta completa al derecho de acceso ejercitado en relación con los datos personales de la persona reclamante.

ESTIMADA

JUNTA DE ANDALUCÍA

CONSEJERÍA DE EDUCACIÓN Y DEPORTE

Ver

RED-2023/009

21/03/2023

EJERCICIO DE DERECHOS

RGPD

Derecho de acceso

Reclamación por inadecuada respuesta al EJERCICIO DE DERECHO de acceso ejercitado por la persona reclamante por parte de la Fundación Ciudades Medias Centro de Andalucía en relación con los datos personales para la creación de una bolsa de trabajo. En el transcurso de la tramitación ha quedado acreditado que finalmente, fuera del plazo legalmente establecido, la persona reclamante recibió nueva contestación por parte del órgano reclamado al derecho de acceso ejercitado, facilitándole, en esta ocasión, copia de sus datos personales y se le informaba que no poseían otros datos personales ya que la Fundación no guardó otra información personal ni se tomaron datos personales más allá de los ya indicados y puestos a su disposición. Por ello, se ESTIMA POR MOTIVOS FORMALES la reclamación sin que proceda instar a otra actuación al órgano reclamado.

ESTIMADA

ENTIDADES LOCALES

FUNDACIÓN CIUDADES MEDIAS DEL CENTRO DE ANDALUCÍA

Ver

RPS-2023/005

21/03/2023

PROCEDIMIENTO SANCIONADOR

RGPD

Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento

Se reclama la instalación de una aplicación por parte del Consorcio Provincial de Bomberos de Málaga, cuyo uso podría no contar con las garantías necesarias sobre protección de datos de carácter personal.
El órgano reclamado no formuló alegaciones y se dirigió un APERCIBIMIENTO al Consorcio Provincial de Bomberos de Málaga por infracción del artículo 28 RGPD, tipificada en el artículo 83.4.a) RGPD por encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28 RGPD.
Asimismo, se insta al Consorcio Provincial de Bomberos de Málaga a que establezca o regularice un vínculo jurídico con la empresa responsable del tratamiento que de cumplimento a lo establecido en el artículo 28.3 RGPD. Además, deberá hacer público el inventario de sus actividades de tratamiento de acuerdo con lo dispuesto en el artículo 6bis LTAIBG. El plazo otorgado para estas actuaciones será de un mes desde la notificación de la presente resolución, debiendo dar cuenta al Consejo, en el mismo plazo, de lo realizado.

APERCIBIMIENTO

ENTIDADES LOCALES

CONSORCIO PROVINCIAL DE BOMBEROS DE MÁLAGA

Ver

RPS-2023/004

13/03/2023

PROCEDIMIENTO SANCIONADOR

RGPD

Vulneración en relación a la obligación de establecer un vínculo jurídico entre responsable y encargado del tratamiento

Se reclama la publicación de imágenes en redes sociales de una persona menor por parte del personal de un Centro educativo.
El órgano reclamado, entre otras cuestiones, alega que el Pliego de Clausulas Administrativas Particulares (PCAP) tipo contempla determinadas obligaciones respecto de la protección de datos en su Anexo XXV, modelo de acuerdo de confidencialidad y en su Anexo XXVI, modelo del tratamiento de datos, todo ello en cumplimiento del RGPD y a la LOPDGDD. Sin embargo, entiende este Consejo que sin perjuicio de que en el modelo de PCAP tipo se hiciera referencia al tratamiento de datos personales, ni en el contrato ni en sus distintas prórrogas suscritas entre la Consejería de Igualdad, Políticas Sociales y Conciliación y la Entidad se regulaba el acceso de ésta a los datos personales responsabilidad del órgano reclamado cumpliendo todos los requisitos exigidos por el artículo 28 RGPD.
Por ello, se dirige un apercibimiento a la Dirección General de Infancia, Adolescencia y Juventud (Consejería de Inclusión Social, Juventud, Familias e Igualdad) por infracción del artículo 28 RGPD.

APERCIBIMIENTO

JUNTA DE ANDALUCÍA

CONSEJERÍA DE IGUALDAD, POLÍTICAS SOCIALES Y CONCILIACIÓN

Ver

RPS-2023/003

10/03/2023

PROCEDIMIENTO SANCIONADOR

RGPD

Falta de aplicación de adecuadas medidas técnicas y organizativas

Se reclama el envío de un correo electrónico, adjuntando convocatoria a la Mesa General de Negociación, sin ocultar las direcciones de las personas destinatarias, representantes sindicales, entre las que se incluía alguna dirección de correo personal (no corporativa) y que resultó accesible por todos los destinatarios.
Finalizada la instrucción del procedimiento, se procedió a realizar la correspondiente propuesta de resolución, que fue notificada al presunto infractor sin que realizara ninguna alegación.
Por ello, se dirigió un APERCIBIMIENTO al Ayuntamiento de Sanlúcar la Mayor, por la infracción del artículo 32 RGPD, tipificada en el artículo 83.4.a) RGPD en relación con la falta de aplicación de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales y evitar la divulgación a terceros. Como medida adicional se insta al Ayuntamiento la implantación y desarrollo de las medidas en relación con el tratamiento objeto de la reclamación, así como que se publique el inventario de actividades de tratamiento en la página web del Ayuntamiento.

APERCIBIMIENTO

ENTIDADES LOCALES

AYUNTAMIENTO DE SANLÚCAR LA MAYOR

Ver

RED-2023/006

09/03/2023

EJERCICIO DE DERECHOS

RGPD

Derecho de acceso

Reclamación por falta de respuesta al EJERCICIO DE DERECHO de acceso ejercitado por la persona reclamante por parte de un centro educativo (Consejería de Educación y Deporte). A pesar de haber sido requerido en reiteradas ocasiones al órgano reclamado no ha quedado acreditado que el centro educativo diera respuesta a la persona reclamante, en el plazo que establece la normativa de protección de datos personales, ni posteriormente, a los tres derechos de acceso ejercitados por ésta. Por ello, se ESTIMA la reclamación contra el responsable del tratamiento, el centro educativo (Consejería de Desarrollo Educativo y Formación Profesional), instándole a ofrecer la adecuada respuesta al derecho de acceso ejercicio por la reclamante.

ESTIMADA

JUNTA DE ANDALUCÍA

CONSEJERÍA DE EDUCACIÓN Y DEPORTE

Ver