Se reclama el envío de emails que contienen información confidencial de una persona que no soy yo (reclamante). Los emails contienen información relacionados con análisis de otra persona.
Tras un periodo de actuaciones previas de investigación, se comprobó que se había producido una difusión indebida de datos de salud de unos pacientes a otro paciente, y por otra, no se acreditó que el órgano reclamado contara con medidas de seguridad para evitar el incidente. Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR la INFRACCIÓN responsabilidad del Servicio Andaluz de Salud, por la comisión de las infracciones tipificadas en los artículos 83.5.a.) y 83.4.a) del RGPD por vulneración de los artículos 5.1.c) y 32 del RGPD como consecuencia de la falta de medidas de seguridad técnicas y organizativas que garanticen la confidencialidad de los datos personales y eviten la revelación de los mismos a terceros.
Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de un mes tras la notificación de la resolución, la documentación acreditativa de la puesta en marcha de actuaciones para evitar que se produzcan situaciones como la que ha dado origen a la reclamación que da origen al procedimiento sancionador.