AEPD 29/11/2022
La AEPD sanciona con apercibimiento a un ayuntamiento por no haber procedido a la designación de un delegado de protección de datos.
Y manifiesta que el hecho de que el nombramiento se pueda llevar a cabo durante la instrucción del procedimiento sancionador o posteriormente no afecta a la existencia de los hechos probados constitutivos de infracción, pues la obligación del ayuntamiento nace desde la aplicación efectiva del RGPD que se produjo el 25 de mayo de 2018, marcando el fin de un período de adaptación de dos años después de su entrada en vigor el 25 de mayo de 2016.
Resolución del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
ANTECEDENTES
PRIMERO: Ante la falta de comunicación a esta Agencia del delegado de protección de datos (DPD) por parte del AYUNTAMIENTO DE ALGETE con NIF P2800900I (en adelante, el Ayuntamiento), la Subdirección General de Promoción y Autorizaciones de esta Agencia le remitió dos notificaciones recordando la obligación de designar un DPD y comunicarlo a la autoridad de control, de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (RGPD), y otorgando un plazo de diez días para que realizara la preceptiva comunicación, sin que se haya recibido respuesta a ninguna de las dos notificaciones. En el mismo escrito, se advertía de que el incumplimiento podría dar lugar al ejercicio de las potestades de investigación y sancionadoras de esta Agencia.
SEGUNDO: Con fecha 24 de junio de 2022, a los efectos previstos en el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), la Subdirección General de Promoción y Autorizaciones trasladó la documentación obrante en esa Subdirección a la Subdirección General de Inspección de Datos. En concreto se adjunta la siguiente documentación:
- Primera notificación enviada por SIR el 17 de febrero de 2022 con número de registro de salida O00007128s2200010977 y la confirmación de la recepción el día 18 de febrero.
- Segunda notificación enviada por SIR el 26 de abril de 2022 con número de registro de salida REGAGE22s00014929642 y la confirmación de la recepción el 27 de abril.
TERCERO: A la vista de los hechos expuestos, en fecha 18 de julio de 2022 se consulta, con resultado negativo, la lista de delegados de protección de datos comunicados a la AEPD utilizando como criterio de la búsqueda el NIF del Ayuntamiento.
CUARTO: Con fecha 20 de julio de 2022, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), por la presunta infracción del Artículo 37 del RGPD, tipificada en el Artículo 83.5 del RGPD Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD).
QUINTO: El citado acuerdo de inicio fue recogido por el responsable con fecha 21 de julio de 2022, como consta en el certificado de Notific@ que obra en el expediente.
SEXTO: Con fecha 10 de agosto de 2022 y número de registro de entrada REGAGE22e00034849313, el Ayuntamiento presenta escrito de alegaciones en el que manifiesta, en síntesis, que están intentando solucionar la falta de DPD desde el 28 de septiembre de 2021. Para ello, se decidió licitar un contrato de servicios que está pendiente de un informe preceptivo desde el 9 de mayo de 2022 y que comunicarán la designación del DPD externo contratado, una vez se adjudique el contrato.
SÉPTIMO: Con fecha 9 de septiembre de 2022, se formuló propuesta de resolución proponiendo que por la Directora de la Agencia Española de Protección de Datos se imponga al Ayuntamiento, por una infracción del Artículo 37 del RGPD, tipificada en el Artículo 83.5 del RGPD, una sanción de apercibimiento, así como que se ordene al Ayuntamiento acreditar ante este organismo, en el plazo de un mes, el nombramiento de DPD.
Asimismo, se puso de manifiesto el procedimiento a fin de que en el plazo de diez días pudiera alegar cuanto considerara en su defensa y presentar los documentos e informaciones que considerara pertinentes, de acuerdo con el artículo 89.2 de la LPACAP.
OCTAVO: Con fecha 5 de octubre de 2022, el Ayuntamiento presenta escrito de alegaciones en el que informa a esta Agencia de las actuaciones realizadas desde las alegaciones al acuerdo de inicio presentadas el 10 de agosto de 2022, señalando que el contrato podría estar formalizado en la segunda semana de noviembre.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS PROBADOS
PRIMERO: Las notificaciones indicadas en los antecedentes primero y segundo fueron recogidas por el Ayuntamiento, sin que se recibiera respuesta alguna.
SEGUNDO: Se ha consultado, con resultado negativo, la lista de delegados de protección de datos comunicados a la AEPD utilizando como criterio de la búsqueda el NIF del Ayuntamiento.
TERCERO: La notificación del acuerdo de inicio del presente procedimiento sancionador se practicó conforme a lo dispuesto en el artículo 43 de la LPACAP.
CUARTO: El Ayuntamiento ha presentado las alegaciones al acuerdo de inicio de este procedimiento sancionador recogidas en el antecedente sexto.
QUINTO: Tras la notificación de la propuesta de resolución, el Ayuntamiento ha presentado las alegaciones que se recogen en el antecedente octavo.
I. Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II. Alegaciones al procedimiento
Por lo que se refiere a las alegaciones presentadas por el Ayuntamiento, recogidas en los antecedentes sexto y octavo, se debe señalar lo siguiente.
Las notificaciones efectuadas por la Subdirección General de Promoción y Autorizaciones de esta Agencia, recordando la obligación de designar un DPD y comunicarlo a la autoridad de control, de acuerdo con el artículo 37 del RGPD, y en los que se otorgaba un plazo de diez días para que realizara la preceptiva comunicación, no fueron respondidas. Finalmente se acordó el inicio del procedimiento sancionador el 20 de julio de 2022.
Asimismo, al margen de los citados recordatorios, cabe señalar que la obligación del nombramiento del DPD por parte del Ayuntamiento nace desde la aplicación efectiva del RGPD que se produjo el 25 de mayo de 2018, según lo estipulado en su artículo 99, marcando el fin de un período de adaptación de dos años después de su entrada en vigor el 25 de mayo de 2016.
Por lo tanto, no cabe tomar en consideración que se hayan iniciado los trámites para el nombramiento del DPD en 2021, con anterioridad a las notificaciones efectuadas por esta Agencia, puesto que el Ayuntamiento debería haber previsto su nombramiento desde la aplicación efectiva del RGPD. Del mismo modo, que el nombramiento se pudiera llevar a cabo durante la instrucción de este procedimiento o posteriormente, no afecta a la existencia de los hechos probados constitutivos de infracción.
Finalmente, como a la fecha de la emisión de la presente resolución no se ha producido el nombramiento del DPD, resulta procedente la orden prevista en la propuesta de resolución por la que se requiere al Ayuntamiento la acreditación de dicho nombramiento en el plazo consignado.
III. Obligación incumplida
De conformidad con las evidencias de las que se dispone, se considera que al Ayuntamiento le corresponde, siguiendo el principio de responsabilidad proactiva, atender las obligaciones que el RGPD detalla, entre las que se incluye la de nombrar un delegado de protección de datos, hacer públicos sus datos de contacto y comunicarlo a la AEPD.
Por tanto, los hechos descritos en el apartado de "Hechos probados" se estiman constitutivos de una infracción, imputable al Ayuntamiento, por vulneración del artículo 37 del RGPD, que dispone lo siguiente en sus apartados 1 y 7 respectivamente:
"1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial;
(...)
7. El responsable o el encargado de tratamiento publicarán los datos de contacto
del delegado de protección de datos y los comunicarán a la autoridad de control."
Sobre la designación del delegado de protección de datos, los apartados 3 y 5 del artículo 37 del RGPD señalan que:
"3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
(...)
5. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios."
Por su parte, la LOPDGDD dedica el artículo 34 a la "Designación de un delegado de protección de datos", precepto que dispone:
"1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 (...)
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en los que se encuentren obligadas a su designación como en el caso en que sea voluntaria".
IV. Tipificación y calificación de la infracción
El artículo 83.5 b) del RGPD, considera que la infracción de "las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43", es sancionable, de acuerdo con el apartado 4 del mencionado artículo 83 del citado Reglamento, "con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía".
La LOPDGDD en su artículo 71, Infracciones, señala que:
"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los dos años y se califica como grave, conforme al artículo 73 de la LOPDGDD que estipula lo siguiente:
"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(...)
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica."
V. Sanción imputada
El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD, en su apartado 7, establece lo siguiente:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
(...)
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(...)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo."
VI. Adopción de medidas
Esta Agencia acuerda imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado...".
Se advierte que no atender a los requerimientos de este organismo puede ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable, la Directora de la Agencia Española de Protección de Datos
PRIMERO: IMPONER al AYUNTAMIENTO DE ALGETE, con NIF P2800900I, por una infracción del Artículo 37 del RGPD, tipificada en el Artículo 83.5 del RGPD, una sanción de apercibimiento.
SEGUNDO: REQUERIR al AYUNTAMIENTO DE ALGETE, con NIF P2800900I, para que en el plazo de un mes acredite ante este organismo el nombramiento de DPD, de conformidad con lo estipulado en el artículo 37 del RGPD.
TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE ALGETE.
CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [<https://sedeagpd.gob.es/sede-electronica-web/%5D,>web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.