El Consejo tuvo conocimiento, a través de noticias publicadas en medios de comunicación, de una posible vulneración de la normativa de protección de datos personales como consecuencia de posibles accesos indebidos a un importante volumen de expedientes bajo responsabilidad del Ayuntamiento de Jerez de la Frontera por parte de dos personas empleadas municipales. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARA la INFRACCIÓN responsabilidad del Ayuntamiento de Jerez de la Frontera, por la comisión de la infracción tipificada en el articulo 83.5.a) del RGPD por vulneración del articulo 5.1.f) del RGPD como consecuencia de la vulneración del principio de confidencialidad de los datos personales.
Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de veinticuatro meses tras la notificación de la resolución, la documentación acreditativa de haber aplicado a los tratamientos de datos personales responsabilidad de esa entidad las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad (ENS), de conformidad con lo establecido en Disposición adicional primera de la LOPDGDD, para lo cual deberá realizar un análisis de riesgo conforme al artículo 24 del RGPD y, en los supuestos del artículo 35 del RGPD, una Evaluación de impacto relativa a la protección de datos.