Se reclama la comunicación de datos personales del reclamante (información de carácter sindical) a terceros a través de un grupo de whatsapp.
Tras un periodo de actuaciones previas de investigación, se comprobó que el reclamante, mediante un correo electrónico dirigido a una lista de distribución correspondiente al Ayuntamiento de Cádiz, puso en conocimiento del mismo una serie de datos sindicales. Con posterioridad, dichos datos personales (nombre, apellidos, datos sindicales y laborales) fueron comunicados a terceros, por una determinada persona que se entiende que es policía local, a través de un grupo de whatsapp que según señala el órgano reclamado no es de su titularidad, siendo recriminada dicha conducta por el propio reclamante en el whatsapp. Asimismo, quedó acreditado que no se habían adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado (artículo 32 del RGPD).Por ello, se inició Procedimiento sancionador.
Notificada la propuesta de resolución al órgano reclamado, éste no presentó alegaciones.
Se procede a DECLARAR las INFRACCIONES responsabilidad del Ayuntamiento de Cádiz, por la comisión de las infracciones tipificadas en el artículo 83.5.a.) del RGPD por vulneración del artículo 5.1.f) por incumplimiento del principio de confidencialidad de datos, así como la infracción tipificada en el artículo 83.4.a.) del RGPD por vulneración del artículo 32 por la ausencia de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales.
Como medida adicional se propone ordenar a la entidad incoada que remita al Consejo, en el plazo máximo de dos meses tras la notificación de la resolución, la documentación acreditativa de la adopción de medidas técnicas y organizativas necesarias y apropiadas, incluidas las puestas en marcha, para evitar que datos personales sean comunicados por miembros de la organización a terceros, vulnerando en principio de confidencialidad.