| Resolución | PS-00449-2024 |
| Firmado | 2025-10-12T00:00:00Z |
| Enlace | 📋 |
El Ayuntamiento de Riba-Roja de Túria fue sancionado por dos infracciones relacionadas con la protección de datos personales. La primera infracción se refiere a la falta de confidencialidad e integridad de los datos personales tratados, conforme al artículo 5.1.f del Reglamento General de Protección de Datos (RGPD). La segunda infracción se debe a la ausencia de un contrato de encargo de tratamiento adecuado, conforme al artículo 28.3 del RGPD.
La denuncia original fue presentada por un investigador de seguridad que descubrió vulnerabilidades en el software de ticketing JANTO, utilizado por el Ayuntamiento para la venta de entradas a eventos. Estas vulnerabilidades permitían el acceso no autorizado a datos personales de los compradores, incluyendo nombres, correos electrónicos, números de teléfono, números de DNI y datos de tarjetas de crédito parcialmente visibles.
El investigador informó a la empresa propietaria del software, Impronta Soluciones S.L., pero no recibió respuesta. Posteriormente, presentó una denuncia ante la autoridad competente, adjuntando pruebas de las vulnerabilidades encontradas.
Durante la investigación, se determinó que el Ayuntamiento no había formalizado un contrato de encargo de tratamiento con Impronta Soluciones S.L., lo cual es una obligación legal según el RGPD. Además, el Ayuntamiento no había implementado medidas adecuadas para garantizar la confidencialidad e integridad de los datos personales tratados a través del software JANTO.
El Ayuntamiento argumentó que consideraba a Impronta Soluciones S.L. como responsable autónomo del tratamiento y no como encargado, por lo que no había formalizado un contrato de encargo. Sin embargo, la autoridad competente determinó que el Ayuntamiento era el responsable del tratamiento, ya que determinaba los fines y medios del tratamiento de los datos personales.
Finalmente, se declaró la infracción de los artículos 5.1.f y 28.3 del RGPD, y se archivó la infracción del artículo 32 del RGPD, ya que no se había acreditado la ausencia de otras medidas técnicas y organizativas de seguridad. El Ayuntamiento fue notificado de la resolución y se le ordenó adoptar medidas correctivas para cumplir con la normativa de protección de datos.