| Resolución | PS-00446-2024 |
| Firmado | 2025-10-12T00:00:00Z |
| Enlace | 📋 |
Un investigador de seguridad, A.A.A., denunció que el software de ticketing JANTO, utilizado por el Ayuntamiento de Burgos y gestionado por Impronta Soluciones S.L., presentaba vulnerabilidades que permitían el acceso no autorizado a datos personales de usuarios. Estos datos incluían nombres, correos electrónicos, números de DNI, números de teléfono y seis dígitos de tarjetas bancarias. El investigador informó a Impronta sobre estas vulnerabilidades, pero no recibió respuesta.
El Ayuntamiento de Burgos, como responsable del tratamiento de datos, fue denunciado por no haber formalizado un contrato de encargo de tratamiento con Impronta, lo cual es una obligación legal según el Reglamento General de Protección de Datos (RGPD). Además, se determinó que el Ayuntamiento no había adoptado medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, lo que vulneraba el principio de integridad y confidencialidad establecido en el RGPD.
La resolución sancionadora ordenó al Ayuntamiento de Burgos que, en un plazo de tres meses, formalizara un contrato de encargo de tratamiento conforme al artículo 28.3 del RGPD y adoptara las medidas necesarias para garantizar la confidencialidad de los datos personales tratados. La sanción se basó en la falta de cumplimiento de las obligaciones legales en materia de protección de datos, lo que puso en riesgo la seguridad de los datos personales de los usuarios.