El pasado martes, 16 de noviembre de 2021, la Agencia hizo pública la resolución del procedimiento sancionador PS/00219/2021 en la que se recoge que la Consejería de Educación del Principado de Asturias, como responsable de la web del Centro Integrado de Formación Profesional de Cerdeño (www.cifpcerdeno.com), vulneró el artículo 32.1) del RGPD, respecto de la falta de seguridad en la página web, así como el artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.
La denuncia con la que se inició el procedimiento tuvo entrada en la Agencia Española de Protección de Datos tras detectarse en la página web del Centro Integrado de Formación Profesional infracciones administrativas tipificadas en el Reglamento General de Protección de Datos («RGPD»).
En la denuncia se alegaba que de las comprobaciones realizadas, con relación a la “Política de Seguridad” de la página web denunciada, se constató que la misma recopilaba datos personales de los usuarios utilizando un protocolo de seguridad “http://”, carente de un nivel mínimo de seguridad resultando dicha circunstancia constitutiva de una infracción del artículo 32 del Reglamento general de protección de datos («RGPD»).
Respecto de las comprobaciones realizadas, con relación a la “Política de Privacidad”, de la página web denunciada, se constató que la misma aún hacía referencia a legislación derogada, por lo que aún no había sido adaptada a la nueva normativa vigente sobre protección de datos de carácter personal resultando dicha circunstancia constitutiva de una infracción del artículo 13 del Reglamento general de protección de datos («RGPD»).
Así, el pasado mes de mayo de 2021, la Agencia acordó admitir a trámite la denuncia presentada e iniciar un procedimiento de inspección ya que se apreciaron indicios racionales de una posible vulneración de las normas en el ámbito de las competencias de la Agencia Española de Protección de Datos.
Concluido el procedimiento de inspección la Directora de la Agencia Española de Protección de Datos, Mar España Martí, resolvió dirigir un apercibimiento a la Consejería de Educación del Principado de Asturias responsable de la página www.cifpcerdeno.com por infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación, y por infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.
La resolución ha sido comunicada por la Agencia Española de Protección de Datos al Defensor del Pueblo, y se ha hecho pública en la página de la AEPD el pasado martes, 16 de noviembre de 2021, tras haber sido notificada a los interesados.
Resolución completa: https://www.aepd.es/es/documento/ps-00219-2021.pdf