¿Vulnera la normativa sobre protección de datos un sistema de apertura de contendedores mediante tarjetas electrónicas y aplicación móvil?

 

I

De acuerdo con los poderes que el artículo 58.2 RGPD, otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD, es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II

El artículo 4 del RGPD, bajo la rúbrica “Definiciones”, dispone:

“A efectos del presente Reglamento se entenderá por:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;”

En el presente expediente se está analizando la implantación de un sistema de apertura de contenedores de residuos equipados con cerraduras electrónicas que se corresponden con Equipos de Control de Acceso (ECA) a tales contenedores, accionados mediante tarjeta vinculada a una determinada dirección postal, tarjeta de transporte activada para la apertura de contenedores o aplicación móvil vinculada a una determinada dirección postal.

El dato de la dirección postal inicialmente fue extraído del Registro de Riqueza Territorial de Navarra, regulado en la Ley Foral 12/2006, de 21 de noviembre, del Registro de la Riqueza Territorial y de los Catastros de Navarra, señalando en su artículo 2 que “es un registro administrativo dependiente de la Hacienda Tributaria de Navarra, que constituye un inventario permanente y actualizado de los bienes inmuebles radicados en territorio navarro”.

El artículo 3.2 de la mencionada Ley Foral 12/2006, de 21 de noviembre, relativo al contenido del Registro de Riqueza Territorial de Navarra, señala que “Los bienes de naturaleza inmueble a que se refiere el artículo 13 de esta Ley Foral se caracterizarán mediante un conjunto de datos necesarios para su localización, descripción inequívoca, valoración y consignación de su titularidad, que tendrán la consideración de datos básicos.” (el subrayado es nuestro).

Y toda vez que es el Registro de Riqueza Territorial de Navarra el que sirve de base para la determinación del pago de las prestaciones patrimoniales de carácter público no tributarias, -condición atribuida a las tarifas por la prestación de los servicios de gestión de los residuos urbanos-, a través de las direcciones postales resultan identificables las personas físicas que, en su caso, están obligadas a tal pago y que por cualquier título habiten, ocupen o disfruten las viviendas, locales, establecimientos o centros en cuyo beneficio o provecho se preste o disponga ese servicio de carácter general y obligatorio, pudiendo incluso resultar identificables las personas físicas propietarias de los inmuebles que están obligadas a dicho pago cuando no sean conocidas las personas beneficiarias del servicio.

A mayor abundamiento, “El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo.” (artículo 16.1 de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, en adelante LBRL).

Toda vez que “Toda persona que viva en España está obligada a inscribirse en el padrón del municipio en el que resida habitualmente” (artículo 54.1 del Decreto 1690/1986, de 11 de julio, por el que se aprueba el Reglamento de Población y Demarcación Territorial de las Entidades Locales), y que las mancomunidades son entidades locales asociativas, esto es, son una asociación de municipios (art. 3.2.c) y 44 de la LBRL), compuestas por Ayuntamientos que gestionan el padrón municipal (artículo 17 de la LBRL), a través del domicilio postal éstos pueden llegar a identificar a todas las personas empadronadas en el mismo.

Lo cierto es que a partir de la dirección del domicilio habitual de un vecino los Ayuntamientos pueden obtener más datos del mismo que constan en el padrón municipal. La identificación no tiene por qué ser directa ni completa, bastando una identificación indirecta que de cualquier manera haga identificable a una persona.

No obstante, lo anterior es criticado por la parte reclamada en su escrito de alegaciones a la propuesta de resolución, pues, entiende, que “el dato de la dirección postal no tiene -de manera inequívoca, certera y total- porqué llegar a identificar a la persona que lleva a cabo la tarea de reciclaje de residuos por cuanto sólo con el dato de dirección postal no se puede llegar a identificar quién fue el que acudió al contenedor” y que “la identificación basada únicamente en la dirección postal podría llegar a dar lugar a una identificación incorrecta (o, mejor, dicho, a no identificar)”.

Al respecto hay que indicar que no se está discutiendo si se puede o no identificar a quien acude o tira las basuras al contenedor, sino que a través de la titularidad de la vivienda que consta en el Registro de Riqueza Territorial de Navarra, dato a partir del que se expide la tarjeta para la apertura de contenedores residuos, se puede identificar perfectamente a las personas físicas que habitan un determinado domicilio. Y todo ello en atención a los datos del padrón.

Además, olvida la parte reclamada que para que una persona sea identificable no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona. Al respecto, la Sentencia del TJUE de 19 de octubre de 2016, en el asunto C-582/14, en el procedimiento entre Patrick Breyer y Bundesrepublik Deutschland, señala que “para que un dato pueda ser calificado de «dato personal», en el sentido del artículo 2, letra a), de dicha Directiva, no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona.” (el subrayado es nuestro).

Hay que subrayar que cuando se utiliza la tarjeta o la aplicación móvil de apertura electrónica de contenedores de residuos, en el sistema del proveedor de cerraduras queda registrada la siguiente información: El identificador de la tarjeta usada para abrir el contenedor (el cual está vinculada a una dirección postal), la fecha y hora en la que se ha abierto el contenedor, el identificador del contenedor, el tipo de contenedor utilizado (orgánico o resto) y la localización del contenedor (coordenadas GPS).

Por ello, al respecto debemos citar la Sentencia del Tribunal Supremo 1062/2019, de 12 de julio (rec. 4980/2018), la cual señala que “Los datos de consumo de energía eléctrica individualizados y con desglose horario, permiten a quien tenga acceso a esa información y la vincule con la identidad del titular del contrato de suministro, conocer los hábitos de conducta privados de dicho consumidor, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vivienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, incluso si vive sola o no, entre otros. En definitiva, proporciona una información objetiva que afecta a la esfera privada de cada consumidor y que puede proporcionar unas pautas de comportamiento diario de una persona” (el subrayado es nuestro). Concluyendo la citada sentencia que “Por ello, estimamos que las mediciones referidas al consumo individual de energía eléctrica asociadas a cada punto de suministro y su código, que las empresas distribuidoras están obligadas a remitir al operador del sistema, en cuanto contienen una información concerniente a los hábitos de conducta de una persona física identificable, son datos personales” (el subrayado es nuestro).

No obstante, la parte reclamada, en su escrito de alegaciones a la propuesta de resolución, considera que el tratamiento de datos personales que realiza no permite conocer los hábitos de persona alguna “por cuanto al no conocer quién lo realiza en cada ocasión (un día puede ser el dueño de la casa, otro día puede ser la persona de la limpieza etc.) no sería correcto hablar de hábitos puesto que ni siquiera corresponden a una misma persona identificada y, en realidad, los hábitos están asociados a personas.”

Al respecto hay que traer a colación el Dictamen de la Autoridad Catalana de Protección de Datos CNS 60/2021, el cual expresa que “El hecho de que los residuos se depositen de forma que permita identificar su origen comporta una innegable afectación por la protección de datos personales y la privacidad de las personas (…).” Riesgo que aumenta claramente en los supuestos en los que se pueda determinar fácilmente su origen (por ejemplo, en el caso de viviendas unifamiliares).

Por ello, no en balde, la parte reclamada, cuando repartió las tarjetas vinculadas al domicilio postal para la apertura de los contenedores de residuos equipados con cerraduras electrónicas adjuntaba una carta en la que indicaba que “Al tratarse de datos, en ocasiones relativos a una persona física identificada o identificable, la información obtenida referente a la apertura de contenedores será tratada conforme a la normativa de protección de datos de carácter personal.”

Por otro lado, no podemos olvidar que, si bien las tarjetas electrónicas para la apertura de contenedores de residuos en un primer momento fueron buzoneadas, con posterioridad las personas han podido: Solicitar una nueva tarjeta (en casos de pérdida, avería, rotura, cambio de domicilio), solicitar la activación de la tarjeta de transporte para la apertura de contenedores de residuos, solicitar credenciales para poder activar la aplicación móvil de apertura de contenedores de residuos.

En estos casos, además de tratar el dato personal del domicilio postal, que inicialmente se extrajo del Registro de Riqueza Territorial de Navarra, se han tratado nuevos datos personales derivados de la recogida y registro de la presentación de solicitudes, pues:

- En las solicitudes telemáticas de nuevas tarjetas, se han de cumplimentar los datos relativos al DNI, nombre y apellidos, dirección de correo electrónico, número de teléfono (opcional) y dirección postal.

- En las solicitudes presenciales de nuevas tarjetas, se han de cumplimentar los datos relativos al DNI, nombre y apellidos, firma, dirección de correo electrónico, número de teléfono y dirección postal.

- En las solicitudes telemáticas de activación de la tarjeta de transporte a la apertura de contenedores de residuos, se han de cumplimentar los datos relativos al DNI, nombre y apellidos, dirección de correo electrónico, dirección postal, número de teléfono (opcional) e IDE tarjeta transporte (opcional).

- En las solicitudes presenciales de activación de la tarjeta de transporte a la apertura de contenedores de residuos, se han de cumplimentar los datos relativos al DNI, nombre y apellidos, firma, IDE tarjeta transporte, dirección postal, número de teléfono y dirección de correo electrónico.

- En las solicitudes telemáticas relacionadas con la aplicación móvil (nuevo usuario, recordar usuario, recordar contraseña o incidencias), se han de cumplimentar los datos relativos al DNI, nombre y apellidos, email, número de teléfono (opcional) y dirección postal.

- En las solicitudes presenciales relacionadas con la aplicación móvil (nuevo usuario, recordar usuario, recordar contraseña o incidencias), se han de cumplimentar los datos relativos al DNI, nombre y apellidos, firma, dirección postal, número de teléfono y dirección de correo electrónico.

En definitiva, la implantación de un sistema de apertura de contenedores de residuos equipados con cerraduras electrónicas que se corresponden con Equipos de Control de Acceso (ECA) a tales contenedores, accionados mediante tarjeta vinculada a una determinada dirección postal, tarjeta de transporte activada para la apertura de contenedores o aplicación móvil vinculada a una determinada dirección postal supone, de conformidad con las definiciones del artículo 4 del RGPD, un tratamiento de un conjunto de datos personales, tal y como se indica:

1.- Tanto en la información adicional sobre protección de datos del tratamiento “FICHERO DE TARJETAS DE RESIDUOS” de fecha 15 de octubre de 2021 (que la parte reclamada indicó que estaba publicada en su escrito de 24 de enero de 2022), la cual señala que los tipos de datos que se tratan son:

“- Identificativos y de contacto: Nombre, apellidos, dirección postal asociada, dirección de correo electrónico y número de teléfono

- De transacciones: Datos de uso de los dispositivos electrónicos de apertura vinculados a la dirección postal”

2.- Como en la información adicional sobre protección de datos del tratamiento “FICHERO DE TARJETAS DE RESIDUOS” que estaba publicada el 25 de abril de 2022 (diligenciada por la Inspección de la AEPD el 13 de junio de 2022), la cual señala que los tipos de datos que se tratan son:

“Identificativos y de contacto: Nombre y apellidos, Dirección postal asociada.

De transacciones: Datos de uso de las tarjetas vinculadas a la dirección postal.”

III

También define el artículo 4 del RGPD que se entiende, a efectos del presente Reglamento, por:

- “«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el derecho de la Unión o de los estados miembros;”

- “«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad púbica, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.”

Los artículos 1 y 2 del Reglamento de relaciones Mancomunidad de la Comarca de Pamplona / Servicios de la Comarca de Pamplona señalan:

“Artículo 1. Servicios.

1. La Mancomunidad ostenta la titularidad de los servicios que constituyen su objeto, recogido en los artículos 5 y 6 de sus Estatutos.

2. “Servicios de la Comarca de Pamplona, S.A.” prestará los servicios a que hace referencia el párrafo anterior, conforme a los acuerdos de la Asamblea General.

Artículo 2. Competencias.

1. Corresponde a la Mancomunidad las funciones de alta dirección, inspección y control de la actividad de la Sociedad en los términos establecidos para cada caso, en este Reglamento.

(…)”

Por su parte, el artículo 5.1.b) de los Estatutos de MCP establece que “Es objeto de la Mancomunidad el ejercicio de las competencias, legalmente establecidas y dentro del ámbito territorial definido en el artículo siguiente, en las siguientes materias cuya titularidad le corresponde:

b) Recogida, tratamiento y aprovechamiento de residuos urbanos.”

A mayor abundamiento, la Ordenanza reguladora de la gestión de residuos en la MCP, modificada el 25 de octubre de 2021 (Boletín Oficial de Navarra nº 259, de 12 de noviembre), señala lo siguiente en sus tres primeros artículos:

“Artículo 1. ENTIDAD COMPETENTE. La Mancomunidad de la Comarca de Pamplona, (en adelante la Mancomunidad), es una entidad local de carácter asociativo, entre cuyas finalidades se encuentra la prestación de los servicios de recogida y tratamiento de los residuos, en los términos de las entidades locales o ámbitos de actuación en que, en cada momento, la Mancomunidad ostente la titularidad del citado servicio, con la finalidad de proteger el medio ambiente y la salud de las personas.

Artículo 2. COMPETENCIAS LOCALES. La Mancomunidad es competente para la recogida, transporte y tratamiento de los residuos domésticos generados y depositados en el ámbito de la misma en la forma que se establezca en la presente ordenanza y en los términos previstos en la legislación de residuos y en la legislación de régimen local.

(…)

La Mancomunidad podrá:

• Aprobar en el marco de sus competencias y coordinación con el plan nacional marco y con los planes autonómicos de gestión de residuos, su propio programa de gestión de residuos y/o su programa de prevención de residuos. En su caso, el plan de gestión de residuos podrá incluir el programa de prevención de residuos.

(…)

Artículo 3. FORMA DE GESTIÓN DEL SERVICIO. La Mancomunidad gestiona los servicios a los que se hace referencia en el artículo anterior, a través de una sociedad de gestión, Servicios de la Comarca de Pamplona, S.A. (SCPSA), constituida por aquélla a este fin, de conformidad con lo establecido en la normativa vigente en materia de prestación de servicios locales.”

Por lo expuesto, es MCP la que tiene la competencia de la prestación de los servicios de recogida, tratamiento y aprovechamiento de los residuos urbanos de la mancomunidad, y, por tanto, la que determina los fines y los medios de cómo realizar tal prestación, por lo que es la responsable del tratamiento de los datos personales objeto del presente procedimiento, tal y como ha reconocido en su escrito de alegaciones al acuerdo de inicio.

Mientras que SCPSA, toda vez que es la que gestiona los servicios de MCP conforme a los acuerdos de la Asamblea General de ésta, y por tanto, la que trata los datos por cuenta de MCP, es la encargada del tratamiento de los datos personales objeto del presente procedimiento.

IV

La parte reclamada tanto en su escrito de alegaciones al acuerdo de inicio como en su escrito de alegaciones a la propuesta de resolución, se refiere a diferentes finalidades del tratamiento que, a su criterio, legitimarían el mismo. Por lo que procede su estudio de manera individualizada:

1.- La consecución de los objetivos de separación de residuos en origen que establece la normativa.

Señala la parte reclamada en su escrito de alegaciones al acuerdo de inicio que “en el ejercicio de sus competencias de recogida, transporte y tratamiento de los residuos domésticos, lleva a cabo el tratamiento de datos personales a través de la implantación de contenedores inteligentes con carácter necesario para el cumplimiento de una misión de interés público y en el ejercicio de poderes públicos conferidos por el ordenamiento jurídico”, indicando posteriormente que con la implantación de tal sistema “solo pretende cumplir y hacer cumplir unos objetivos claros de recogida separada y de evitación de impropios”, los cuales, refiere, derivan de las siguientes normas:

- Directiva 2018/851, del Consejo y del Parlamento, por la que se modifica la Directiva2008/98/CE sobre los residuos.

- La Ley Foral 14/2018, de residuos y su fiscalidad.

- La Ley 7/2022, de residuos y suelos contaminados para una economía circular (en adelante, LRSCEC).

Normas a las que añade, en su escrito de alegaciones a la propuesta de resolución, las siguientes:

- Cuatro principios fundamentales que la Unión Europea ha señalado en materia de gestión de residuos: El principio de prevención, el principio “quien contamina paga”, el principio preventivo y el principio de proximidad.

- El Plan Estatal Marco de gestión de residuos 2016-2022.

- La Ley 22/2011, de 28 de julio, de residuos y suelos contaminados.

Hay que resaltar, en primer lugar, que la LRSCEC ha entrado en vigor el 10 de abril de 2022, siendo la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados la norma que estaba vigente cuando se empezó a implantar el sistema de apertura de contenedores objeto del presente procedimiento sancionador.

Tal y como reflejara el Fundamento de Derecho IV del acuerdo de inicio, el artículo 8 de la LOPDGDD señala:

“1. El tratamiento de datos personales solo podrá considerarse fundado en cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1.e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.”

En el presente caso, tal y como se desarrollará en el Fundamento de Derecho X de esta resolución, el tratamiento no puede considerarse fundado en cumplimiento de una obligación legal exigible al responsable del tratamiento porque ni la mencionada Ley 22/2011, de 28 de julio, de residuos y suelos contaminados, así como ninguna de las demás normas invocadas por la parte reclamada, ni obliga ni legitima a ésta a realizar tratamiento alguno de datos personales para llevar a cabo el ejercicio de sus competencias de recogida, transporte y tratamiento de los residuos domésticos.

Lo anterior es criticado por la parte reclamada en su escrito de alegaciones a la propuesta de resolución, pues considera que sí “lo legitima teniendo en cuenta que los objetivos vienen marcados por Europa en un primer momento, por la propia Constitución que habilita a la Mancomunidad a desarrollar sus competencias y por las leyes forales y nacionales”.

Tal afirmación pone de manifiesto que la parte reclamada está confundiendo la obligación que tiene de conseguir unos determinados objetivos de reciclaje en origen con la presunta obligación de realizar un tratamiento de datos personales para conseguir tales objetivos. Son dos cosas distintas. Y esta última “obligación” es la que no viene recogida en ninguna de las normas invocadas.

A tal efecto, traigamos a colación el Dictamen 06/2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, el cual establece que “la propia obligación legal debe estar suficientemente clara en lo que respecta al tratamiento de los datos personales que se requiere. Por tanto, el artículo 7, letra c) (trasladable al actual artículo 6.1.c) del RGPD), es aplicable sobre la base de las disposiciones jurídicas que hacen referencia explícitamente a la naturaleza y al objeto del tratamiento. El responsable del tratamiento no deberá tener un grado indebido de discreción sobre cómo cumplir con dicha obligación jurídica.”

Por otro lado, tampoco puede considerarse fundado el tratamiento en una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable porque para la consecución de los objetivos de recogida separada y de evitación de impropios la normativa no prevé ni considera el tratamiento de datos personales ni, por lo tanto, el dato del domicilio postal así como de todos los demás datos que se exigen en los casos de solicitud de una nueva tarjeta, de activación de la tarjeta de transporte para la apertura de contenedores de residuos y para solicitar las credenciales para poder activar la aplicación móvil de apertura de contenedores de residuos (DNI, nombre y apellidos, firma, dirección de correo electrónico, número de teléfono y dirección postal).

El artículo 17.2 de la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados (norma que estaba en vigor cuando se presentó la reclamación) señala que “La entrega de los residuos domésticos se realizará en los términos que establezcan las ordenanzas locales.”

Mientras que el artículo 20.3 de LRSCEC (norma vigente actualmente) establece que “El productor inicial u otro poseedor de residuos domésticos deberá separar en origen sus residuos y entregarlos en los términos que se establezcan en las ordenanzas de las entidades locales, de acuerdo con lo establecido en el artículo 25.”

Si se acude a la Ordenanza reguladora de la gestión de residuos de MCP, encontraremos que sus artículos 15 y 16 establecen lo siguiente:

“Artículo 15. OBJETIVOS. Tanto la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados, como el Plan de residuos de Navarra 2017-2027 y la Ley Foral 14/2018 de residuos y su fiscalidad, establecen objetivos de reutilización, reciclado y otras formas de valorización de los residuos, con la finalidad de proteger el medio ambiente y la salud de las personas.

A estos efectos, la Mancomunidad dispone de un sistema de recogida, que conlleva la obligación de los usuarios de depositar de forma separada aquellos residuos susceptibles de distintos aprovechamientos, o cuya recogida específica se considere conveniente.

Para la correcta gestión de los residuos, su reutilización y el reciclado, la Mancomunidad establece en la presente Ordenanza medidas necesarias con el objetivo de incrementar la separación en origen y optimizar el servicio de recogida.

Artículo 16. APERTURA MEDIANTE DISPOSITIVO DE APERTURA DE CONTENEDORES Y BUZONES Con el fin de alcanzar los objetivos recogidos en el artículo 15 de la presente ordenanza, se instalarán, de forma progresiva, sistemas de apertura en contenedores y buzones, mediante dispositivos de apertura que permitirán la captación y registro de los datos de cada contenedor y/o buzón con objeto de conocer su grado de utilización para lograr los objetivos normativos, así como para la realización de actividades de promoción del servicio y sus resultados.”

De la lectura de lo anterior se desprende que la ordenanza se refiere a la recogida de datos de los contenedores con objeto de conocer su grado de utilización para lograr los objetivos normativos, así como para la realización de actividades de promoción del servicio y sus resultados. No hace ninguna mención a la recogida de datos personales, por lo que la parte reclamada no puede realizar ningún tratamiento de los datos personales ni, por lo tanto, conocer la dirección postal exacta de quien realiza cada depósito de residuos, pues, como se ha indicado, la mencionada ordenanza no contempla la recogida de datos personales para el uso que se realice de los distintos contenedores por cada domicilio.

No obstante, la parte reclamada, en su escrito de alegaciones a la propuesta de resolución, manifiesta que, si bien el tratamiento del domicilio postal no se puede considerar imprescindible, “sí que es altamente conveniente y totalmente adecuado” para la realización de la misión en interés público a la vista de resultados de los objetivos de reciclaje.

Por ello, manifiesta “su total compromiso” para modificar la Ordenanza reguladora de la gestión de residuos para para incluir de manera expresa “la recogida de datos del uso que se realice de los distintos contenedores por cada dirección postal”, si bien considera que tal omisión “no implica que no se pueda hacer por cuanto la recogida de datos no es tanto el objetivo sino un medio para conseguir el objetivo que es el de lograr los objetivos de reciclaje.”

Hemos de significar, con carácter previo, que mientras en el ámbito privado puede realizarse todo aquello que no está prohibido, en el ámbito público únicamente puede llevarse a cabo aquello permitido por el ordenamiento jurídico; esto implica que las administraciones públicas sólo pueden hacer aquello que el ordenamiento jurídico les permite, no pudiendo ampararse, so pretexto del silencio de la norma, en que algo se puede hacer porque nada indica la disposición normativa de que se trate.

Tal y como indica el informe 2018-0175 del Gabinete Jurídico de la AEPD 175/2018, “la Administración está vinculada por el principio de legalidad, de manera que, a diferencia de los particulares, tan sólo puede llevar a cabo aquello para lo que el ordenamiento jurídico le permite expresamente. Este es el sentido de lo dispuesto en los artículos 9.1 y 103 de la Constitución, de suerte que cuando la ley y el derecho no han atribuido a la Administración las potestades correspondientes para actuar ante una determinada situación, esa actuación no podrá llevarse a cabo sin que previamente el ordenamiento le atribuya dichas potestades. No existe por tanto un espacio vacío donde a falta de ley pueda la Administración actuar. Es lo que se ha denominado la doctrina de la vinculación positiva de la Administración a la legalidad (García de Enterría). En consecuencia, para que la Administración pueda actuar necesita de una previa habilitación legal (entendida aquí legalidad como habilitación normativa)”.

En el presente caso, la norma no prevé tratamiento de dato de carácter personal alguno, a lo cual la parte reclamada tilda de omisión. Sin embargo, tal y como hemos explicitado, MPC sólo puede hacer lo que la ordenanza le permite, sin que pueda ser suplida la “omisión” del regulador por la simple voluntad de MPC.

El artículo 6.3 del RGPD señala que la base del tratamiento indicado en artículo 6.1.e) del RGPD debe ser establecida por el derecho de la Unión o por el Derecho de los Estados miembros que se aplique al responsable del tratamiento, debiendo quedar la finalidad del tratamiento determinada en dicha base jurídica.

Por otro lado, el precitado artículo 6.3 del RGPD indica que “Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas al presente Reglamento (…)”. (el subrayado es nuestro)

Lo anterior significa, en relación con la base de legitimación regulada en el artículo 6.1.e) del RGPD:

- Que la finalidad del tratamiento debe estar determinada por una norma con rango de ley, tal y como determina el artículo 8 de la LOPDGDD.

- Que las demás disposiciones específicas en materia de protección de datos pueden venir determinadas en tal norma con rango de ley, si bien no es obligatorio.

En materia de gestión de residuos, la precitada normativa estatal en materia medioambiental ha establecido que las entidades locales tengan que cumplir unos objetivos en materia de separación en origen de los residuos, al mismo tiempo que ha dejado que sean éstas las que determinen los medios de cómo conseguirlo, medios que han de figurar y concretarse en las correspondientes ordenanzas locales. Esto es, la Ley sólo determina los fines, habilitando a las entidades locales, a través de las ordenanzas (último nivel de concreción normativa), a que determinen los medios. En este caso, la ordenanza debía haber incluido necesariamente el tratamiento de datos de carácter personal y no solo el tratamiento de datos de los contenedores.

Esto supone, en el supuesto examinado, que, si bien existe una previa habilitación legal, esta Ley habilita, a su vez, expresamente a que una norma jurídica de rango inferior contenga disposiciones específicas desarrollando la competencia conferida por la Ley. Dicha concreción, que debe de encontrarse, en este caso, en una ordenanza local, la debería haber llevado a cabo el regulador de la forma que hubiera tenido por conveniente, incluyendo o no cuestiones de protección de datos, en cuyo caso sería en los términos del artículo 6.3 del RGPD. Como se puede comprobar, en el supuesto examinado en el presente procedimiento sancionador, el regulador no ha previsto tratamiento alguno de datos de carácter personal conforme le habilitaba el artículo 17.2 de la Ley 22/2011, de 28 de julio, y actualmente le habilita el artículo 20.3 de LRSCEC.

Además, tal determinación de los medios no la puede realizar de cualquier manera en materia de protección de datos, sino con similares exigencias a las previstas en el artículo 6.3 del RGPD para la Ley, al tratarse de una extensión de ésta.

Resultando la ordenanza el último instrumento de concreción normativo en el que tienen que estar previstos todos los medios, incluyendo a tales efectos el tratamiento de datos personales (por mor del artículo 6.3 del RGPD y del artículo 5.1.a) del principio de licitud, lealtad y transparencia del RGPD), a su estricto contenido se encuentra vinculada MCP. La Ordenanza reguladora de la gestión de residuos de MCP contempla sólo la recogida de los datos de los contenedores. No contempla la recogida de datos personales. No contempla la recogida de datos del uso que se realice de los distintos contenedores por cada domicilio. Ningún tratamiento de datos personales aparece previsto en la ordenanza de MCP. Por ello, como hemos apuntado anteriormente, no puede llevar a cabo aquello que la propia MCP no ha previsto normativamente en relación con el tratamiento de datos personales.

A mayor abundamiento, recordemos que el artículo 70.2 de la LBRL establece que “Las ordenanzas, (…) se publicarán en el "Boletín Oficial" de la Provincia.” Es a través de tal publicación cuando los ciudadanos, destinatarios últimos de la norma, conocen su contenido íntegro. Y en el caso que nos ocupa, saber si la entidad local trata sus datos de carácter personal y para qué.

El considerando 39 del RGPD señala que “Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. (…)” (el subrayado es nuestro).

Por su parte, la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, señala que “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos”. (el subrayado es nuestro).

Por ello, cuando la parte reclamada manifiesta que la omisión de “la recogida de datos del uso que se realice de los distintos contenedores por cada dirección postal” en su ordenanza “no implica que no se pueda hacer por cuanto la recogida de datos no es tanto el objetivo sino un medio para conseguir el objetivo que es el de lograr los objetivos de reciclaje”, está mostrando un claro desprecio hacia el derecho fundamental a la protección de datos de carácter personal, y en concreto, hacia el principio de licitud, lealtad y transparencia del tratamiento de datos de carácter personal regulado en el artículo 5.1.a) del RGPD.

A pesar de lo expuesto, la parte reclamada, en su escrito de alegaciones al acuerdo de inicio, no comparte que el tratamiento no sea lícito y necesario sobre la base de lo que establece el último párrafo del artículo 25.2 de la LRSCEC, el cual dice expresamente: que “Entre los modelos de recogida de las fracciones anteriores que establezcan las entidades locales se deberán priorizar los modelos de recogida más eficientes, como el puerta a puerta o el uso de contenedores cerrados o inteligentes que garanticen ratios de recogida similares.”

Si bien ya se ha indicado con anterioridad que la LRSCEC no estaba en vigor en el momento de iniciarse la implantación del sistema de apertura de contenedores mediante tarjeta electrónica o aplicación móvil vinculadas a un domicilio postal, en la exposición de motivos de tal ley encontraremos que ésta señala que “La ley no determina una única modalidad para llevar a cabo las mencionadas recogidas separadas de las distintas fracciones de los residuos de competencia local, debiendo estas adaptarse a las circunstancias de cada entidad local, teniendo en cuenta los modelos de éxito comprobado, como son los de recogida puerta a puerta, o con contenedores cerrados.” (el subrayado es nuestro).

Esto es, la ley pretende que se establezcan modelos eficientes de separación en origen de los residuos, pero esto no significa, a diferencia de lo que entiende la parte reclamada, que de manera obligatoria se tenga que implantar el sistema puerta a puerta o el sistema de contenedores cerrados. Y mucho menos significa que la norma obligue a que la apertura de los contenedores tenga que llevar aparejada el tratamiento de datos personales y, en concreto y para el supuesto examinado, que estar vinculada a un dato de carácter personal como es el domicilio postal.

Al fin y al cabo, la disposición adicional decimoquinta de la LRSCEC, “Protección de datos personales”, establece que “En la totalidad de las actuaciones reguladas en esta ley, y específicamente en la gestión de residuos, en la reutilización de productos o componentes de productos que contengan datos personales o en el traslado de residuos, esta ley se aplicará sin perjuicio de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecto al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y demás normativa aplicable en la materia.” (el subrayado es nuestro).

Por otro lado, señala la parte reclamada en su escrito de alegaciones al acuerdo de inicio que entre 2013 y 2015 implantó un sistema de “contenedores cerrados, sin identificación del generador/productor de residuos mediante la colocación del 5º Contenedor para Materia Orgánica cuya apertura se llevaba a cabo con una llave mecánica.

(…)

La experiencia de implantación general de contenedor cerrado sin identificación no fue exitosa en absoluto quedándose, por tanto, muy lejos de poder cumplir en algún momento unos ratios de recogida similares al puerta a puerta ni de cumplir con los requisitos cuantitativos y de reciclado de alta calidad y los objetivos establecidos en la LRSCEC.”

Señalando posteriormente que “sin el necesario tratamiento limitado de los datos personales que exige la recogida separada mediante contenedores inteligentes a los que remite la propia Ley, es imposible cumplir las obligaciones y objetivos establecidos por ella”.

Por otro lado, en su escrito de alegaciones a la propuesta de resolución, la parte reclamada indica que ha analizado cuatro fórmulas diferentes de separación de residuos en origen:

- Contenedores abiertos en la calle que no requieren ningún mecanismo para su apertura: No recogen ninguna información personal pero su eficiencia para conseguir la separación de residuos en origen es baja.

- Contenedores cerrados en la calle que requieren del uso de un mecanismo de apertura, pero que no permiten el registro de información de las aperturas realizadas: Indica que el nivel de uso de información personal necesario es bajo, así como es baja su eficiencia para conseguir la separación de residuos.

- Contenedores cerrados en la calle que requieren del uso de un mecanismo de apertura y que permiten el registro de información de las aperturas realizadas: Señala que el nivel de uso de información personal es medio (dirección postal pero sin posibilidad de identificar los residuos depositados), mientras que el nivel de eficiencia para la consecución de la separación de residuos en origen es medio-alto.

- Recogida puerta a puerta, esto es, recogida de residuos en la puerta de cada domicilio y establecimiento: El nivel de uso de información personal es alto, pues permite la identificación del aportante como del residuo depositado, mientras que el nivel de eficiencia para la consecución de la separación de residuos en origen es muy alto.

Por lo expuesto, considera la parte reclamada que el sistema que utiliza “es la fórmula intermedia que aúna el respeto al derecho de protección de datos de los interesados y la eficiencia adecuada -sin utilizar métodos invasivos que, a la vez, son mucho más eficientes-“

Pero de nada sirve implantar tal sistema si el mismo no encuentra su legitimación en alguna de las bases recogidas en el artículo 6.1 del RGPD.

A mayor abundamiento, si bien es cierto, que tal y como indica la parte reclamada, parece que este sistema es eficaz para la consecución de los objetivos de separación de residuos en origen, no resulta acreditado que tales resultados sean debido al tratamiento de datos de carácter personal, y mucho menos, del tratamiento del dato del domicilio postal. Tratando este dato, lo único que se conoce es si se abre o no un contenedor, pero no si se ha depositado realmente un residuo, y, en el caso de que se haya sido así, se desconoce si se ha introducido en el contenedor correspondiente a la tipología de residuo. Además, también se desconoce qué individuo ha abierto un contenedor así como qué tipo de residuo ha introducido, en su caso.

Como se ha expuesto, el tratamiento de datos personales objeto del presente procedimiento sancionador:

- No se encuentra fundado en el cumplimiento de una obligación legal exigible al responsable del tratamiento (artículo 6.1.c) del RGPD) toda vez que no hay norma de Derecho de la Unión Europea o norma con rango de ley que obligue a realizar un tratamiento de datos personales para conseguir los objetivos de reciclaje en origen.

- Tampoco puede considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (artículo 6.1.e) del RGPD) toda vez que tanto la Ley 22/2011, de 28 de julio, como la LRSCEC remiten a las ordenanzas para la determinación del sistema de entrega de residuos domésticos. Y la Ordenanza reguladora de la gestión de residuos de MCP solo contempla la recogida de datos de los contenedores con objeto de conocer su grado de utilización para lograr los objetivos normativos, así como para la realización de actividades de promoción del servicio y sus resultados. No contempla la recogida de datos de carácter personal para el uso que se realice de los distintos contenedores por cada domicilio, ni tampoco prevé el tratamiento de dichos datos personales, en el presente caso, que realiza la parte reclamada.

2.- El ejercicio de la potestad sancionadora.

Señala la parte reclamada en su escrito de alegaciones al acuerdo de inicio que los objetivos de recogida selectiva “implican directamente a los ciudadanos, y por tanto a su ciudadanía, y con consecuencias incluso sancionadoras para ellos, caso de incumplimiento.”. A tal efecto invoca el artículo 111.3 LRSCEC, el cual, expone la parte reclamada, “no sólo habilita a las entidades locales a sancionar el abandono, vertido o eliminación incontrolados de los residuos cuya recogida y gestión les corresponde, sino también el incumplimiento de las condiciones de entrega previstas en las ordenanzas, entre las que habrá de incluir, el incumplimiento de la separación en origen de los residuos.”

Toda vez que ya se ha indicado que la LRSCEC no estaba vigente cuando se empezó a implantar el sistema de apertura de contenedores objeto del presente procedimiento sancionador, debemos acudir a la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados.

Esta norma en su artículo 12.5 regula las competencias de las entidades locales en materia de gestión de residuos, indicando la letra b) que las corresponde “El ejercicio de la potestad de vigilancia e inspección, y la potestad sancionadora en el ámbito de sus competencias”. Precepto que es prácticamente idéntico al artículo 12.5.d) de la LRSCEC (“Ejercer la potestad de vigilancia e inspección y la potestad sancionadora en el ámbito de sus competencias”)

Ello implica que la parte reclamada, en el ejercicio de su potestad sancionadora, podría encontrarse legitimada a realizar tratamientos de datos personales, en virtud del artículo 6.1.e) del RGPD, al ser necesarios para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.

Pero en el presente caso nos encontramos:

- Que el sistema de recogida de residuos que ha implantado la parte reclamada no permite identificar si el ciudadano ha depositado el residuo en el contenedor adecuado, por lo que no se contarían con datos adecuados y pertinentes para dar cumplimiento al principio de responsabilidad regulado en el artículo 28 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

- Que en la información adicional sobre protección de datos que figura en la página web www.mcp.es/fichadatosresiduos, tanto en la versión que indicó la parte reclamada el 24 de enero de 2021 que estaba publicada como en la versión diligenciada por la Inspección de la AEPD el 13 de junio de 2022, no se indica en el apartado “¿Con qué finalidad tratamos sus datos?” que los datos serán tratados para el ejercicio de la de la potestad sancionadora. Es más, la parte reclamada en su escrito de alegaciones al acuerdo de inicio indica que “No existe ningún efecto jurídico que se derive de la información obtenida de la utilización de las tarjetas”

De lo expuesto se deduce que, si bien la parte reclamada ha tenido, en virtud de la Ley 22/2011, de 28 de julio, y tiene, en virtud de la LRSCEC, competencia sancionadora en materia de gestión de residuos, no ha llevado, ni lleva a cabo, un tratamiento de datos en relación con tal competencia, por lo que no cabe invocarla en aras a justificar la legitimación del tratamiento de datos personales que ha realizado, y sigue realizando, en relación con la exclusiva finalidad de la recogida, transporte y tratamiento de los residuos domésticos.

3.- El establecimiento de una tasa que permita implantar sistemas de pago por generación.

Señala la parte reclamada, en su escrito de alegaciones al acuerdo de inicio, que el artículo 11.3 de la LRSCEC obliga a las entidades locales al establecimiento, en el plazo de tres años a contar desde la entrada en vigor de esta ley, de una tasa o prestación patrimonial de carácter público no tributaria, diferenciada, que permita implantar sistemas de pago por generación. Tasa que, indica la parte reclamada, es imposible si no se determina “de manera diferenciada la cantidad real de residuos que se generan/producen por cada dirección postal de cada una de las fracciones. Ello exige de manera ineludible y necesaria el tratamiento de los datos de la recogida separada articulada mediante los sistemas de contenedor, inteligente o puerta a puerta ya que, de lo contrario, es materialmente imposible.”

Pero tal tasa, que podría legitimar el tratamiento de datos de carácter personal que realiza la parte reclamada:

- Se encuentra regulada en una norma que no estaba en vigor en el momento inicialde la implantación del sistema de apertura de contenedores de residuos mediante tarjeta electrónica o aplicación móvil vinculadas al domicilio postal.

Al efecto, señala la parte reclamada en su escrito de alegaciones a la propuesta de resolución, que “antes de la ley de 2022 también estaban establecidos objetivos y que el principio de que “quien contamina paga”; del que deriva el pago por generación, es un clásico de la normativa medioambiental y no es algo que “aparezca o surja en 2022”. Por lo que, la Mancomunidad se ha limitado a seguir la línea marcada por Europa desde muchos años antes.”. Asimismo, indica la parte reclamada, que tal principio ya lo aplicaba la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados al indicar en su artículo 11 que “De acuerdo con el principio de quien contamina paga, los costes relativos a la gestión de residuos tendrán que correr a cargo del productor inicial de residuos, del poseedor actual o del anterior poseedor de residuos de acuerdo con lo establecido en los artículos 42 y 45.2.”

Pero lo cierto es que la parte reclamada, al amparo de la norma que invoca, no sólo no implantó tasa alguna en el momento inicial de la implantación del sistema de apertura de contenedores de residuos mediante tarjeta electrónica o aplicación móvil vinculadas al domicilio postal, sino que no tenía voluntad alguna de implantarla, toda vez que ni en la Ordenanza reguladora de la gestión de residuos de MCP, ni en la información adicional sobre protección de datos que figura en la página web www.mcp.es/fichadatosresiduos (tanto en la versión que indicó la parte reclamada el 24 de enero de 2021 que estaba publicada como en la versión diligenciada por la Inspección de la AEPD el 13 de junio de 2022), ni en ninguna de las versiones del registro de actividades del tratamiento, se ha indicado que se van a tratar los datos de carácter personal con la finalidad de establecer una tasa.

- A mayor abundamiento, la tasa regulada en la LRSCEC todavía no ha sido implantada, toda vez que la parte reclamada en su escrito de alegaciones al acuerdo de inicio expone lo siguiente:

“cuando en un futuro se pretenda que produzca efectos jurídicos en los usuarios (pago por generación, por ejemplo) deberán introducirse medidas que identifiquen al usuario y que garantice la exactitud de los datos. A modo de ejemplo:

- modificación normativa.

- cambio de régimen jurídico de las tarjetas para que sean intransferibles.

- asociación de la tarjeta al obligado al pago de la prestación.

Lo cual obligará a informar a los usuarios de que la utilización de dichas tarjetas va a generar efectos jurídicos o afectar significativamente al obligado al pago (…)”

Toda vez que la parte reclamada, con anterioridad a la entrada en vigor de la LRSCEC, no ha llevado a cabo un tratamiento de datos en relación con una tasa basada en el sistema de pago por generación de residuos, ni tras la entrada en vigor de la citada norma lo ha implantado, no cabe tal invocación en aras a justificar la legitimación del tratamiento de datos personales que ha realizado, y sigue realizando, en relación con la exclusiva finalidad de la recogida, transporte y tratamiento de los residuos domésticos.

4.- El ejercicio de la potestad de vigilancia e inspección.

Por último, señala la parte reclamada en su escrito de alegaciones a la propuesta de resolución, y por primera vez durante la tramitación del presente procedimiento sancionador, que el tratamiento de datos personales que lleva a cabo está legitimado con sus competencias en materia de inspección, indicando que los resultados mostrados de los distintos sistemas de recogida de residuos derivan “de la información generada en labores de inspección y control”.

Asimismo manifiesta que ha empezado a “implementar actuaciones más precisas de inspección y control”, en concreto:

- Que ha realizado en abril de 2023 una campaña de inspección en aquellos comercios y locales que no estaban haciendo uso de los contenedores de resto y materia orgánica.

- Que se ha planteado una actuación de inspección, basada en la identificación de los domicilios y comercios con malas prácticas, en uno de los barrios con peores resultados de separación de residuos y mayor abandono de residuos en la calle.

Si bien no hay una definición en el ordenamiento jurídico de lo que se ha de entender por “inspección administrativa”, el grueso doctrinal la define como “la actividad de la Administración en la que se examina la conducta realizada por los administrados para comprobar el cumplimiento de los deberes, prohibiciones y limitaciones a que están sometidos y, en su caso, preparar la reacción administrativa frente a las transgresiones que se detecten”.

Por su parte, la Real Academia Española, en el “Diccionario panhispánico del español jurídico”, define el “procedimiento administrativo de inspección” como el “Procedimiento administrativo especial o de las especialidades procedimentales que tienen por objeto habilitar los trámites precisos para posibilitar la investigación, comprobación y eventual propuesta de sanción de actividades sujetas a determinada normativa suyo incumplimiento es sancionable.”

Lo expuesto implica que toda actuación inspectora está íntimamente ligada al ejercicio, en caso de infracción, de la potestad sancionadora. Por ello, el precitado artículo 12.5 de la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados, regulador de las competencias de las entidades locales en materia de gestión de residuos, indica en la letra b) que a tales entidades les corresponde “El ejercicio de la potestad de vigilancia e inspección, y la potestad sancionadora en el ámbito de sus competencias”. Precepto que es prácticamente idéntico al artículo 12.5.d) de la LRSCEC (“Ejercer la potestad de vigilancia a inspección y la potestad sancionadora en el ámbito de sus competencias”).

Y toda vez que ya hemos expuesto que:

- Si bien la parte reclamada ha tenido, en virtud de la Ley 22/2011, de 28 de julio, y tiene, en virtud de la LRSCEC, competencia sancionadora en materia de gestión de residuos, no ha llevado, ni lleva a cabo, un tratamiento de datos en relación con tal competencia sancionadora, toda vez que el sistema de recogida de residuos que ha implantado no permite identificar si el ciudadano ha depositado el residuo en el contenedor adecuado.

- Al estar la competencia de inspección ligada al ejercicio de la competencia sancionadora, la parte reclamada tampoco ha podido, ni puede llevar a cabo un tratamiento de datos en relación con la competencia de inspección.

La denominada “campaña de actuación en establecimientos con cero aperturas”, llevada a cabo por la parte reclamada en abril de 2023, consistió, tal y como se indica en el informe aportado al efecto, en visitar 270 establecimientos en los que, pese a no haberse registrado aperturas, se detectó que se estaba dando en ellos consumo de agua y por tanto era deducible que estaban desarrollando su actividad comercial.

Ante tal manifestación se hace necesario indicar que la parte reclamada ha cruzado los datos de las tarjetas de apertura de contenedores de residuos con los datos de consumo de agua, a pesar de que la parte reclamada, en su escrito de alegaciones al acuerdo de inicio, manifestó que los datos de las tarjetas de apertura de contenedores de residuos “no se ponen en relación ni se utilizan para segregar la información que se obtiene del ulterior uso que se le dé a esa concreta tarjeta para la apertura de los diferentes dispositivos”. Asimismo, manifestó que no elaboraba perfilados.

El informe de la “campaña de actuación en establecimientos con cero aperturas” señala que los objetivos de tal campaña fueron siguientes:

“- Detectar si los establecimientos de la zona disponen de las tarjetas de apertura de los contenedores asignadas a su dirección postal.

- Averiguar las causas de la no apertura de los contenedores.

- Informar sobre la obligatoriedad de separar y depositar por fracciones los residuos, así como advertir sobre las posibles sanciones.

- Informar sobre cómo hacer una correcta separación de residuos en origen y su posterior depósito.

- Identificar y recoger necesidades en cuanto a dificultades para el depósito de residuos (rebose de contenedores, mejorar accesibilidad, no disponibilidad de tarjetas y/o credenciales y demás).

- Reducir o erradicar el abandono de residuos y voluminosos fuera de contenedores y buzones por parte de los establecimientos objetivo.

- Informar sobre los pasos a dar para solicitar tarjetas de apertura en caso de pérdida o rotura.”

Esto es, la parte reclamada ha llevado a cabo una actuación en la línea de lo que establece el artículo 16 de la Ordenanza reguladora de residuos de MCP: “(…) se instalarán, de forma progresiva, sistemas de apertura en contenedores y buzones, mediante dispositivos de apertura que permitirán la captación y registro de los datos de cada contenedor y/o buzón con objeto de conocer su grado de utilización para lograr los objetivos normativos, así como para la realización de actividades de promoción del servicio y sus resultados.” (el subrayado es nuestro). Pero no es una actuación vinculada al ejercicio de la potestad sancionadora en caso de infracción normativa.

A mayor abundamiento, hay que poner de relieve que el mencionado artículo 16 de la Ordenanza reguladora de la gestión de residuos de MCP guarda consonancia con las finalidades del tratamiento de datos personales que la parte reclamada ha manifestado en:

- Las cartas informativas que se adjuntaban a las tarjetas vinculadas al domicilio postal para la apertura de los contenedores de residuos equipados con cerraduras electrónicas que se han repartido: “Todos los datos que se recaban como consecuencia de la utilización de estas tarjetas serán tratados bajo la responsabilidad de Servicios de la Comarca de Pamplona, S.A. (SCPSA), para analizar la utilización de los contenedores en las fracciones de materia orgánica y resto, y en concreto para conocer su grado de utilización con el fin de lograr los objetivos normativos de aplicación, así como la realización de actividades de informacion, promoción del servicio y sus resultados” (el subrayado es nuestro).

- La carta que se envía al solicitante de una nueva tarjeta electrónica para la apertura de los contenedores: “Todos los datos que se recaban como consecuencia de la utilización de estas tarjetas serán tratados bajo la responsabilidad de Servicios de la Comarca de Pamplona, S.A. (SCPSA), para analizar la utilización de los contenedores en las fracciones de materia orgánica y resto, y en concreto para conocer su grado de utilización con el fin de alcanzar los objetivos normativos de aplicación, así como para la realización de actividades de información, promoción del servicio y sus resultados.” (el subrayado es nuestro).

- En la información adicional sobre protección de datos que figura en la página webwww.mcp.es/fichadatosresiduos en la versión que indicó la parte reclamada el 24 de enero de 2021 que estaba publicada: “Los datos de apertura de los contenedores y de los buzones de materia orgánica y resto y, en su caso, envases obtenidos a partir de cada uno de los dispositivos electrónicos de apertura habilitados para ello serán tratados para analizar la utilización de esos contenedores y buzones y en concreto para conocer los índices de separación para así lograr los objetivos normativos de aplicación, así como para la realización de actividades de promoción del servicio y sus resultados”. (El subrayado es nuestro).

- En la información adicional sobre protección de datos que figura en la página webwww.mcp.es/fichadatosresiduos en la versión diligenciada por la Inspección de la AEPD el 13 de junio de 2022: “Los datos de apertura de los contenedores por cada una de las tarjetas serán tratados para analizar la utilización de los contenedores en las fracciones de materia orgánica y resto y en concreto para conocer los índices de separación para así lograr los objetivos normativos de aplicación, así como para la realización de actividades de promoción del servicio y sus resultados”. (El subrayado es nuestro).

- En el tratamiento denominado “Tarjetas residuos y otros dispositivos” del Registro de Actividades del Tratamiento de SCPSA aprobado en el Comité de Seguridad de SCPSA de fecha 23 de febrero de 2022: “Los datos de apertura de los contenedores y buzones por cada una de las tarjetas o dispositivos equivalentes serán tratados para analizar la utilización de los contenedores y buzones y en concreto para conocer los índices de separación para así lograr los objetivos normativos de aplicación, así como para la realización de actividades de promoción del servicio y sus resultados”. (El subrayado es nuestro).

- En la evaluación de impacto relativa a la protección de datos del proyecto “Tarjeta de residuos y otros dispositivos” de fecha 20 de junio de 2023: “La finalidad es analizar la utilización de los contenedores y buzones y en concreto para conocer los índices de separación para así lograr los objetivos normativos de aplicación, así como para la realización de actividades de promoción del servicio y sus resultados.” (El subrayado es nuestro).

En conclusión, el tratamiento de datos personales que ha realizado la parte reclamada ha sido (i) para analizar y (ii) para realizar actividades de promoción. Pero en ningún caso, para ejercer su potestad de inspección. Entender lo contrario supondría que la parte reclamada tendría un registro de actividades del tratamiento y una evaluación de impacto que no se corresponderían con la realidad, además de no haber informado adecuadamente a los ciudadanos de para qué se están tratando sus datos de carácter personal.

Por lo expuesto, podemos concluir que, en el momento de la presentación de la reclamación ante la AEPD:

1.- El tratamiento de datos personales que realizaba la parte reclamada no era lícito para la sola consecución de los objetivos de separación de residuos en origen que establecía la normativa. Además, este sistema no garantiza que la segregación de residuos se haga de manera correcta, sino solamente si se utiliza o no un determinado contenedor, por lo que difícilmente puede contribuir a conseguir los objetivos perseguidos.

2.- La parte reclamada no realizaba un tratamiento de datos en relación con sus competencias de inspección y de sanción en materia de gestión de residuos.

3.- Ni había implantado tasa relativa a la separación de residuos en origen ni la LRSCEC había entrado en vigor, por lo que no había obligación de implantar la tasa regulada en su artículo 11.3.

A mayor abundamiento, tampoco actualmente el tratamiento que realiza la parte reclamada es lícito, toda vez que:

1.- El tratamiento de datos personales que actualmente realiza la parte reclamada no es lícito para la sola consecución de los objetivos de separación de residuos en origen, dado que no está amparado en ninguna norma como ya se ha argumentado.

2.- La parte reclamada sigue sin llevar a cabo un tratamiento de datos en relación con sus competencias de inspección y de sanción en materia de gestión de residuos.

3.- La tasa regulada en el artículo 11.3 de la LRSCEC todavía no ha sido implantada, por lo que tampoco en la actualidad ésta está realizando un tratamiento de datos en relación con la gestión de una tasa basada en el sistema de pago por generación de residuos.

Además, la implantación de este sistema no garantiza la consecución de los objetivos de separación de residuos en origen que establece la normativa. Pero, a mayor abundamiento, tampoco permitiría ni las inspecciones, ni las sanciones, ni la implantación de una tasa de residuos personalizada en función del uso que se haga de los contenedores, dado que el sistema, según indica la parte reclamada, no permite conocer los residuos que una persona concreta deposita en un determinado contenedor.

En conclusión, el tratamiento de datos personales realizado por la parte reclamada no era lícito en el momento de la presentación de la reclamación que ha dado origen al presente procedimiento sancionador, ni lo es actualmente, lo que supone una infracción del artículo 6.1 del RGPD.

V

Invoca la parte reclamada, en su escrito de alegaciones al acuerdo de inicio, diversos pronunciamientos de autoridades de control de protección de datos en los que se analizan la licitud tanto del sistema puerta a puerta como el de contenedores inteligentes. Pasemos a continuación a analizarlos:

- Informe 282/2018 de la Autoridad Catalana de Protección de Datos: En este caso se trataba de un sistema de recogida de residuos puerta a puerta cuyo tratamiento de datos se requería para “la identificación de las personas usuarias, entre otras, para controlar el servicio y resolver las incidencias que puedan surgir con la persona usuaria del servicio. Es decir, para el ejercicio de las potestades de inspección relacionadas con la recogida de residuos (…)”. Finalidad de inspección, que no realiza la parte reclamada.

- Informe 6/2020 de la Autoridad Catalana de Protección de Datos: En este supuesto se estudiaba la implementación de un sistema de recogida selectiva de residuos fundamentado en la utilización de contenedores que incorporan un sistema de identificación por radiofrecuencia con la finalidad última de “computar la generación real de residuos de cada hogar o comercio y definir el importe de la tasa en función de la cantidad y tipos de residuos generados.” Tasa que, en el caso de la parte reclamada, no está implementada.

- Informe 60/2021 de la Autoridad Catalana de Protección de Datos: En este caso se analizaba un sistema de recogida de residuos puerta a puerta de nuevo con la finalidad última de implantar una tasa.

- Resolución del procedimiento de tutela de derechos núm. PT/72/2021 de la Autoridad Catalana de Protección de Datos: En ella se resolvía la presunta desatención del derecho de supresión de sus datos personales en relación con el servicio de recogida de residuos puerta a puerta. Tal resolución remite al informe 248/2021, en el cual se observa que el tratamiento de datos está relacionado tanto con la potestad sancionadora de la Administración, así como con la gestión de una tasa por generación de residuos.

- Resolución del procedimiento de tutela de derechos núm. PT/76/2021 de la Autoridad Catalana de Protección de Datos: En ella se resolvía la presunta desatención de los derechos de supresión y oposición al tratamiento de sus datos personales en relación con el servicio de recogida de residuos puerta a puerta. Resolución que se remite al precitado informe 248/2021.

- El Dictamen D18-015 de la Agencia Vasca de protección de datos: En este caso, la mancomunidad consultante a la autoridad de control planteaba solicitar a los ayuntamientos correspondientes “el acceso a los datos de carácter personal que obran en el padrón municipal de la tasa de residuos urbanos, consistentes en nombre y apellidos del usuario, dirección y D.N.I. para poder llevar a cabo la gestión de las tarjetas de apertura de los contenedores de R.U. (residuos urbanos), el control del uso de los contenedores por los usuarios, y la aplicación del régimen sancionador legalmente previsto en el caso de que se incumpla el régimen de utilización de los contenedores de biorresiduos ubicados en la vía pública.

Asimismo, la Entidad Local consultante establece y exige la tasa por la prestación del servicio público de recogida domiciliaria, comercial e industrial de basura y el tratamiento y aprovechamiento o eliminación de residuos sólidos urbanos en el ámbito territorial del municipio de […], y para ello utiliza el padrón de la tasa de residuos urbanos de ese municipio.” (el subrayado es nuestro)

Es decir, no sólo se consultaba el tratamiento de datos en relación con la gestión de los residuos urbanos, sino también para poder ejercer la competencia sancionadora y exigir una tasa por la prestación del servicio.

Al respecto, indica la parte reclamada en su escrito de alegaciones a la propuesta de resolución, que la conclusión de este Dictamen señala que “la Mancomunidad estará legitimada para tratar, como responsable del tratamiento, los datos de los usuarios del servicio estrictamente necesarios para el ejercicio de las potestades que la Ordenanza le atribuye.” Motivo por el que considera que, realizando una interpretación analógica, se encuentra legitimada “para el ejercicio de las potestades que la Ordenanza le atribuye y, por tanto, se considera legítimo el tratamiento de información de aperturas de contenedor.”

Si bien es cierto que el mencionado Dictamen finaliza así, no es menor cierto que la interpretación que lleva a cabo la parte reclamada es sesgada al obviar los dos párrafos anteriores a tal conclusión:

“Y en cumplimiento de la normativa expuesta, la Mancomunidad […] aprobó definitivamente el 16 de mayo de 2018 la ya citada Ordenanza reguladora del servicio de recogida selectiva y tratamiento de residuos domésticos y comerciales en el ámbito de los municipios que integran la misma (BOG nº 106, de 4 de junio de 2018), en la que se establece como obligatoria para todos los usuarios la utilización del sistema de recogida selectiva de residuos por fracciones conforme a las reglas y normas que establece la Ordenanza (artículo 38.4).

Dicha Ordenanza regula las diferentes infracciones y sanciones, y atribuye la potestad sancionadora a la Mancomunidad (artículo 33). Además, la Ordenanza señala en su artículo 38.4 que la Mancomunidad ya dispone de un censo de usuarios.”

De conformidad con lo anteriormente expuesto, debe concluirse que (…)” Continuando esta frase con la invocación que realiza la parte reclamada.

Si bien la Ordenanza reguladora de la gestión de residuos de MCP regula las diferentes infracciones y sanciones y atribuye la potestad sancionadora a la parte reclamada (artículo 53), no indica que MCP cuente con un censo de usuarios del sistema de recogida de residuos. Es más, el sistema implantado por la parte reclamada no solo no permite identificar si el ciudadano ha depositado el residuo en el contenedor adecuado, sino que tampoco permite identificar qué ciudadano lo ha depositado, por lo que no puede ejercer la potestad sancionadora en materia de separación de residuos en origen.

Por ello, no se puede aplicar al tratamiento objeto del presente procedimiento sancionador, la conclusión determinada en el Dictamen D18-015 de la Agencia Vasca de protección de datos.

A la vista de lo expuesto, hay que indicar que es indiferente que, tal y como señala la parte reclamada en su escrito de alegaciones al acuerdo de inicio, numerosos municipios hayan instaurado un sistema como el que ha implantado ella, pues habría que analizar individualmente cada uno de ellos para determinar si cuentan con una de las bases de legitimación del artículo 6.1 del RGPD. Y todo ello, con independencia, de que no cabe la igualdad en la ilegalidad (SSTC 40/1989, 21/1992, 115/1995, 144/1999, 25/2022, entre otras).

Por otro lado, la parte reclamada también hace mención, tanto en su escrito de alegaciones al acuerdo de inicio como en su escrito de alegaciones a la propuesta de resolución, a dos resoluciones de la AEPD en las que se archivaba una reclamación y se inadmitía otra en relación con el ejercicio de derechos relativos a este sistema de apertura. Resoluciones que, entiende la parte reclamada, se amparan “precisamente en la licitud y necesariedad del tratamiento de los datos, y analizando dichas razones, la AEPD ha considerado ajustada a derecho la actuación de MCP/SCPSA”.

Las resoluciones a las que se refiere la parte reclamada son:

- La del expediente EXP202203664: En ella se archivaba una reclamación relativa a que no se había atendido adecuadamente el ejercicio de los derechos de oposición, supresión y limitación en relación con este sistema de apertura.

- La del expediente EXP202205572: En ella no se admitía a trámite una reclamación relativa al ejercicio del derecho de oposición en relación con este sistema de apertura.

Pero tales procedimientos de ejercicio de derechos se resolvieron teniendo en cuenta, solo y exclusivamente, las manifestaciones realizadas por SCPSA relativas a si había dado debida contestación a los solicitantes de las citadas tutelas de derechos, es decir, sin realizar una investigación tendente a determinar si el tratamiento de datos de carácter personal que está realizando la parte reclamada es conforme al RGPD, como se ha hecho en el presente procedimiento.

VI

Respecto a la falta de transparencia de la información, la parte reclamada realiza diversas alegaciones al respecto en su escrito de alegaciones al acuerdo de inicio:

- En relación con la irregularidad de los artículos 13.1.c) y 14.1.c) del RGPD (los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento), la parte reclamada, por un lado, se remite a las alegaciones realizadas en el anterior apartado, mientras que, por otro lado, señala que la estimación de tales alegaciones supondría la corrección de la información a facilitar al interesado identificando la concreta norma habilitante, que, indica, serían la Ley 7/2022, de 8 de abril, de residuos y suelos contaminados para una economía circular, la Ley Foral 14/2018 de residuos y su fiscalidad y la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local.

Pero ya hemos indicado en el Fundamento de Derecho IV que el tratamiento de datos personales que realizaba en el momento de la reclamación y que actualmente realiza la parte reclamada no es lícito ni necesario para la sola consecución de los objetivos de separación de residuos en origen que establece la normativa.

- Respecto a la irregularidad de los artículos 13.2.f) y 14.2.g) del RGPD (la existencia de decisiones automatizadas, incluida la elaboración de perfiles), señala la parte reclamada que la implantación del sistema de apertura de contenedores de residuos a través de una tarjeta electrónica vinculado al domicilio postal “no permite elaborar perfiles fiables en los términos contenidos en el artículo 14.2.g) en relación con el artículo 22 del Reglamento General de Protección de Datos.”, pues:

a) “No existe ningún tipo de efecto jurídico que se derive de la información obtenida de la utilización de las tarjetas, tomando como referencia los ejemplos de producción de efectos jurídicos recogidos en las directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 elaborado por el grupo de trabajo sobre protección de datos del artículo 29”.

b) Respecto al requisito de que el tratamiento automatizado “le afecte significativamente de modo similar”, indica la parte reclamada que “sin perjuicio de que se trata de una expresión jurídicamente indeterminada, hemos de señalar que no se produce en ningún caso una afectación y ello porque no se lleva a cabo tal elaboración de perfiles.”

Continúa manifestando la parte reclamada que “cuando en un futuro se pretenda que produzca efectos jurídicos en los usuarios (pago por generación, por ejemplo) deberán introducirse medidas que justifiquen al usuario y que garantice la exactitud de los datos. A modo de ejemplo:

- modificación normativa.

- cambio de régimen jurídico para que las tarjetas sean intransferibles.

- asociación de la tarjeta al obligado al pago de la prestación..

Lo cual obligará a informar a los usuarios de que la utilización de dichas tarjetas va a generar efectos jurídicos o afectar significativamente al obligado al pago y resto de obligaciones señaladas en esta resolución, como la evaluación de impacto.”

Por lo expuesto señala que “no se adopta ninguna decisión automatizada en relación con la información gestionada en el marco del sistema de recogida de residuos implantada, lo que sí sucedería por ejemplo en el caso de fijar la tasa de residuos en función del número de aperturas o que se sancionase por la falta de uso sin más criterio que las aperturas.”

Toda vez que queda acreditado que actualmente la parte reclamada no realiza tratamiento de datos en relación con las potestades de inspección y sancionadora, ni la gestión de una tasa de residuos, ni existen decisiones automatizadas en relación con el tratamiento de datos que lleva a cabo, se estima esta alegación, por lo que se considera que la parte reclamada no ha cometido una irregularidad de los artículos 13.2.f) y 14.2.g) del RGPD.

Por otro lado, la parte reclamada reconoce, en relación con la falta de transparencia en la información, los siguientes errores que va a proceder a corregir:

- La irregularidad del artículo 14.2.f) del RGPD (la fuente de la que proceden los datos personales), pues “en el momento de implantación únicamente se tratan los datos relativos a la dirección postal y a los datos de aperturas”.

- La irregularidad del artículo 13.2.e) del RGPD (si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de no facilitar tales datos).

- La irregularidad relativa a que en el momento de dar la información a los interesados se indica que el responsable es SCPSA, si bien tanto en el correo electrónico para ejercitar los derechos como la página web donde se encuentra la información adicional sobre privacidad del sistema son de MCP. Al respecto señala la parte reclamada que “se procederá a su modificación indicando en todas las comunicaciones que la responsabilidad del tratamiento de datos se llevará a efecto por la Mancomunidad de la Comarca de Pamplona.”

En conclusión, a la vista de las irregularidades reconocidas por la parte reclamada, así como por la desestimación de algunas de las alegaciones realizadas respecto a la transparencia de la información dada, se pone de manifiesto que la parte reclamada ha cometido una infracción de los artículos 12.1, 13 y 14 del RGPD.

VII

Indica la parte reclamada en su escrito de alegaciones al acuerdo de inicio que “en la documentación aportada por esta entidad en el marco del expediente de la reclamación EXP202105962, se remitió un extracto del Registro de Actividades del Tratamiento relativa a los concretos tratamientos relacionados con la reclamación.

Dicho extracto no correspondía al Registro de Actividades íntegro del que dispone SCPSA y donde sí que constan los datos de identificación y contacto del Responsable del Tratamiento.

Es por ello que compartimos el criterio de la AEPD, manifestando que, efectivamente en el RAT debe constar la información mencionada en el expediente sancionador como así aparece en el Registro de Actividades del Tratamiento que obra en poder de la entidad.”

La documentación aportada a la que se refiere la parte reclamada fue remitida por SCPSA mediante registro de entrada de fecha 4 de abril de 2022. A la misma, se adjuntaba informe del delegado de protección de datos de SCPSA de esa misma fecha, en el cual se indica lo siguiente en relación con el registro de actividades del tratamiento:

“En relación con el Registro de Actividades de Tratamiento y entendiendo que se refiere exclusivamente a los tratamientos relativos a la gestión de residuos, se aportan los dos tratamientos que se encuentran implicados en la gestión.

El primer de ellos es el tratamiento de “EXPEDIENTES” que hace referencia a la solicitud de nuevas tarjetas por parte de los interesados y que se gestiona como un expediente más de los existentes en la entidad.

El segundo de ellos es el denominado “TARJETAS DE RESIDUOS Y OTROS DISPOSITIVOS DE APERTURA”.

Se adjunta detalle de la información contenida en el registro de actividades de tratamiento relativa a estos dos tratamientos señalando que no se ha producido ninguna modificación desde su creación.

A este respecto, el tratamiento de EXPEDIENTES fue creado con fecha 6 de septiembre de 2018 mientras que el tratamiento de TARJETAS DE RESIDUOS Y OTROS DISPOSITIVOS DE APERTURA fue creado con fecha 7 de octubre de 2021.

Se adjunta la información contenida en el Registro General de Actividades de Tratamiento relativa a estos dos tratamientos como anexo 15.”

En el citado anexo 15, consta la siguiente información respecto del fichero denominado “Expedientes”:

“- Actividad del tratamiento: Gestión de expedientes.

- Finalidad: Agrupar toda la documentación relacionada con el mismo asunto, en relación con las actividades propias o encomendadas a la entidad.

- Categorías de interesados: Usuarios de los servicios de SCPSA

- Categorías de datos: Identificativos. De información comercial. De transacciones.

- Cesiones: Únicamente las legalmente previstas.

- Transferencias internacionales: No previstas.

- Período de conservación: Los datos se conservarán durante el tiempo máximo de prescripción de las acciones legales desde la finalización de la prestación del servicio o desde la solicitud de cancelación de los datos por los interesados, en su caso.

- Medidas de seguridad: Control de acceso. Copias de seguridad. Proteccion antimalware. Actualizaciones. Seguridad de la red. Seguridad en movilidad. Acceso remoto. Registro de actividad. Control de dispositivos y software instalado”

Asimismo, en el mencionado anexo 15, consta la siguiente información respecto del fichero denominado “Tarjetas de residuos y otros dispositivos de apertura”:

“- Actividad del tratamiento: Gestión de expedición de tarjetas.

- Finalidad: Gestionar el servicio de apertura de contenedores por medio de tarjeta electrónica

- Categorías de interesados: Usuarios de los servicios de SCPSA

- Categorías de datos: Identificativos. De transacciones.

- Cesiones: Únicamente las legalmente previstas.

- Transferencias internacionales: No previstas.

- Período de conservación: Los datos se conservarán durante el tiempo máximo de prescripción de las acciones legales desde la finalización de la prestación del servicio o desde la solicitud de cancelación de los datos por los interesados, en su caso.

- Medidas de seguridad: Control de acceso. Copias de seguridad. Proteccion antimalware. Actualizaciones. Seguridad de la red. Seguridad en movilidad. Acceso remoto. Registro de actividad. Control de dispositivos y software instalado”.

En virtud de lo anterior, y toda vez que en ninguno de los dos ficheros constaba el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos, el Fundamento de Derecho VI del acuerdo de inicio del presente procedimiento sancionador indicaba que “se considera que existen evidencias de que en el registro de las actividades del tratamiento no consta toda la información exigida en la normativa, lo que podría suponer la vulneración del artículo 30.1 del RGPD.”

Durante la práctica del periodo probatorio, se requirió a la parte reclamada que remitiera copia íntegra del registro de actividades de tratamiento de datos personales en su versión inicial, así como copia de todas las versiones posteriores a aquella en atención a cualquier adición, modificación o exclusión en el contenido del mismo (indicando la fecha del cambio), certificada por órgano competente.

Con fecha 26 de enero de 2023 la parte reclamada remitió:

- Registro de Actividades del Tratamiento aprobado en el Comité de Seguridad de SCPSA de fecha 23 de noviembre de 2018.

- Registro de Actividades del Tratamiento tras la ampliación sufrida a consecuencia del expediente sancionador incoado por la AEPD a MCP con fecha 14 de noviembre de 2019.

- Registro de Actividades del Tratamiento aprobado en el Comité de Seguridad de SCPSA de fecha 23 de febrero de 2022.

Pasemos a continuación a examinar los dos ficheros de tratamientos de datos personales que ha indicado la parte reclamada que se encuentran implicados en la gestión de residuos:

1.- El fichero denominado “Expedientes”.

Indicó el delegado de protección de datos de SCPSA en su informe de 4 de abril de 2022 que el referido fichero "fue creado con fecha 6 de septiembre de 2018” así como que “no se ha producido ninguna modificación desde su creación.” Su contenido, según documentación remitida por SCPSA a esta AEPD mediante registro de 4 de abril de 2022, es el que se ha indicado anteriormente.

No obstante, tras la práctica del periodo probatorio, se han detectado las siguientes incongruencias:

- En la versión del registro de actividades del tratamiento, tras la ampliación sufrida a consecuencia del expediente sancionador incoado por la AEPD a MCP con fecha 14 de noviembre de 2019, no figura el fichero denominado “Expedientes”.

- En el registro de actividades del tratamiento aprobado en el Comité de Seguridad de SCPSA de fecha 23 de febrero de 2022, el fichero denominado “Expedientes” tiene el siguiente contenido:

- Actividades del tratamiento: “Gestión de expedientes”

- Fines del tratamiento: “Tratamiento de datos personales asociados a los expedientes, recursos contenciosos, procedimientos sancionadores y a la atención ciudadana. Se incluye lo relativo al portal de transparencia”

- Categorías de interesados: “Ciudadanos/Usuarios Proveedores Representantes”

- Categoría de datos personales:

“Datos identificativos: Nombre y apellidos, DNI, certificado digital, firma.

Datos de contacto: domicilio, población, provincia, código postal, teléfono, email, fax.

Información comercial

Datos de transacciones

Otros: en función de la naturaleza del asunto, se pueden tratar datos económicos.”

- Categoría de destinatarios: “Los datos serán comunicados a abogados y procurados para la defensa y representación en los asuntos encomendados, así como, por obligación legal, a los Juzgados y Tribunales, órganos competentes y, en su caso, Fuerzas y Cuerpos de Seguridad.”

- Plazos de conservación: “Los datos se conservarán durante el tiempo máximo de prescripción de las acciones legales desde la finalización de la prestación del servicio o desde la solicitud de cancelación de los datos por los interesados, en su caso.”

- Transferencias de datos a un tercer país u organización internacional: “Se utiliza WeTransfer para el intercambio de archivos con el procurador designado. La utilización de WeTransfer recaba información personal y la transfiere a Estados Unidos. Garantías: apartado what parties do we share personal information with https://wetransfer.com/legal/ privacy”

- Medidas técnicas y organizativas: “Control de acceso. Copias de seguridad. Proteccion antimalware. Actualizaciones. Seguridad de la red. Seguridad en movilidad. Acceso remoto. Registro de actividad. Control de dispositivos y software instalado”

Es decir, un contenido sustancialmente diferente al inicial y que nada tiene que ver con la gestión de residuos.

Toda vez que cuando se empezó a implantar el sistema de apertura de contenedores de residuos objeto del presente procedimiento era otoño de 2021:

- El registro de actividades del tratamiento que estaba en vigor era el que se amplió a consecuencia del expediente sancionador incoado por la AEPD a MCP con fecha 14 de noviembre de 2019, en el cual no hay un fichero denominado “Expedientes”.

- En el registro de actividades del tratamiento aprobado por el Comité de Seguridad de SCPSA el 23 de febrero de 2022, el fichero denominado “Expedientes” no tiene relación alguna con la gestión de los residuos.

La propuesta de resolución indicó que, por tanto, no procedía analizar este fichero en cuestión.

Pero, toda vez que:

- El informe del delegado de protección de datos de SCPSA de fecha 4 de abril de2022 manifestaba que el fichero denominado “EXPEDIENTES (…) hace referencia a la solicitud de nuevas tarjetas por parte de los interesados y (…) se gestiona como un expediente más de los existentes en la entidad.”

- El análisis de riesgos que presenta la parte reclamada el 14 de julio de 2023 se refiere al “Tratamiento 4: expedientes”, el cual tiene contenido similar al fichero “Expedientes” del registro de actividades del tratamiento aprobado por el Comité de Seguridad de SCPSA el 23 de febrero de 2022.

Se hace necesario indicar que el fichero de tratamiento de datos de carácter personal derivado de una tarjeta electrónica inicialmente repartida ha de ser coherente (en relación con las finalidades, con los datos tratados, etc) con el fichero de tratamiento de datos de carácter personal derivado de una nueva tarjeta expedida tras la solicitud de un ciudadano, lo cual no se advierte en el presente caso.

2.- El fichero denominado “Tarjetas de residuos y otros dispositivos de apertura”

Indicó el delegado de protección de datos de SCPSA en su informe de 4 de abril de 2022 que "fue creado con fecha 7 de octubre de 2021” así como que “no se ha producido ninguna modificación desde su creación.”. El contenido de tal fichero, según documentación remitida por SCPSA a esta AEPD mediante registro de 4 de abril de 2022, es el que se ha indicado anteriormente.

Tal contenido coincide con el denominado “Tarjetas residuos y otros dispositivos” que consta en el registro de actividades del tratamiento aprobado en el Comité de Seguridad de SCPSA de fecha 23 de febrero de 2022, en el cual, además figura:

- Que el responsable del tratamiento es SCPSA, dando como dato de contacto la dirección de correo electrónico protecciondatos@mcp.es

- Que el delegado de protección de datos es Chaverri & Loitegui, Abogados, Consultores, dando como dato de contacto la dirección de correo electrónico chaverriloitegui@chyl.es

No obstante, ya se ha indicado que es la parte reclamada (MCP) la responsable del tratamiento, siendo SCPSA el encargado de MCP. Por lo que la inexactitud de tal extremo, que se ha de corregir, constituye una infracción del artículo 30 del RGPD.

Si bien actualmente el registro de actividades del tratamiento en vigor es el aprobado por el Comité de Seguridad de SPCSA el 23 de febrero de 2022, no se puede finalizar este fundamento de derecho sin hacer mención al registro de actividades del tratamiento en vigor en el momento de la presentación de la reclamación que ha dado lugar al presente procedimiento sancionador, es decir, en el 18 de noviembre de 2021, cuando estaba empezando a implantarse el sistema.

Ya se ha indicado anteriormente que el registro en vigor era el que se amplió tras el expediente sancionador incoado por la AEPD frente a Mancomunidad de la Comarca de Pamplona con fecha 14 de noviembre de 2019. En este registro consta, para todos los tratamientos existentes en él:

- Que el responsable del tratamiento es SCPSA, con indicación de su domicilio social, CIF y teléfono.

- Que el delegado de protección de datos es Chaverri & Loitegui, Abogados, Consultores, con indicación de su dirección postal, así como del correo electrónico a efectos de contacto protecciondatos@mcp.es

Asimismo, si bien en este registro no consta ninguno de los dos ficheros anteriormente descritos (“Expedientes” y “Tarjetas de residuos y otros dispositivos de apertura”), sí había dos ficheros relacionados con la gestión de los residuos:

1.- El denominado “Gestión de clientes. Recogida de residuos”, respecto al que figura la siguiente información:

- Fines del tratamiento: “Tratamiento de los datos personales para la gestión contractual, facturación y cobro de los servicios de recogida de residuos, tramitación de las solicitudes de recogida. Expedición de tarjetas de residuos para la apertura de contenedores, bien sean de nueva creación o de sustitución por incidencias con la tarjeta anterior. Asimismo, se prevé para la finalidad dirigida a gestionar las solicitudes de apertura especial para que el usuario disponga de un mayor rango horario para la apertura de contenedores”

- Categorías de interesados: “Ciudadanos/Usuarios. Representantes”

- Categoría de datos personales:

“Datos identificativos: nombre y apellidos, DNI, certificado digital, firma.

Datos de contacto: domicilio, población, provincia, código postal, teléfono, email, fax.

Datos de transacciones

Datos económicos y financieros: nº cuenta bancaria.

Otros: titularidad sobre los bienes, titularidad de licencias de obra, sexo a efectos de comunicaciones y nacionalidad.”

- Categoría de destinatarios: “No están previstas cesiones de datos diferentes de las legalmente previstas”

- Plazos de conservación: “Los datos se conservarán durante el tiempo máximo de prescripción de las acciones legales desde la finalización de la prestación del servicio o desde la solicitud de cancelación de los datos por los interesados, en su caso.”

- Transferencias de datos a un tercer país u organización internacional: “No se transfieren datos fuera del Espacio Económico Europeo”

- Medidas técnicas y organizativas: “Servicios de la Comarca de Pamplona, S.A., se ha adaptado a las medidas técnicas y organizativas establecidas en el RD/3/2010 (Esquema Nacional de Seguridad - ENS). En particular, se aplican las siguientes medidas: Control de acceso; Copias de seguridad; Proteccion antimalware; Actualizaciones; Seguridad de la red; Seguridad en movilidad; Acceso remoto; Registro de actividad; Control de dispositivos y software instalado”

2- El denominado “Gestión de clientes. Tratamiento de residuos”, respecto al que figura la siguiente información:

- Fines del tratamiento: “Tratamiento de los datos personales para la gestión contractual, facturación y cobro de los servicios de tratamiento y gestión de residuos. Tratamiento de datos identificativos y de contacto a efectos de proceder a la tramitación de nuevas tarjetas de residuos, bien sean de nueva creación o de sustitución por incidencias con la tarjeta anterior. Asimismo, se prevé para la finalidad dirigida a gestionar las solicitudes de apertura especial para que el usuario disponga de un mayor rango horario para la apertura de contenedores”

- Categorías de interesados: “Ciudadanos/Usuarios. Representantes”

- Categoría de datos personales:

“Datos identificativos: nombre y apellidos, DNI, certificado digital, firma.

Datos de contacto: domicilio, población, provincia, código postal, teléfono, email, fax.

Datos económicos y financieros: nº cuenta bancaria.

Otros: identificación medioambiental, titularidad sobre los bienes, titularidad de licencias de obra, sexo a efectos de comunicaciones y nacionalidad”

- Categoría de destinatarios: “No están previstas cesiones de datos diferentes de las legalmente previstas”

- Plazos de conservación: “Los datos se conservarán durante el tiempo máximo de prescripción de las acciones legales desde la finalización de la prestación del servicio o desde la solicitud de cancelación de los datos por los interesados, en su caso.”

- Transferencias de datos a un tercer país u organización internacional: “No se transfieren datos fuera del Espacio Económico Europeo”

- Medidas técnicas y organizativas: “Servicios de la Comarca de Pamplona, S.A., se ha adaptado a las medidas técnicas y organizativas establecidas en el RD/3/2010 (Esquema Nacional de Seguridad - ENS). En particular, se aplican las siguientes medidas: Control de acceso; Copias de seguridad; Proteccion antimalware; Actualizaciones; Seguridad de la red; Seguridad en movilidad; Acceso remoto; Registro de actividad; Control de dispositivos y software instalado”

En ambos ficheros se indica que SCPSA es el responsable de los tratamientos, si bien ya se ha indicado que es la parte reclamada (MCP) la responsable de estos tratamientos, siendo SCPSA la encargada de MCP.

A mayor abundamiento, indicaremos que no se incluía en el citado registro de actividades del tratamiento ningún fichero relativo a la activación de la tarjeta de transporte para poder abrir los contenedores de residuos así como ningún fichero relativo a la utilización de la aplicación móvil para la apertura de tales contenedores de residuos.

Toda vez que:

- Había una inexactitud en el extremo del responsable del tratamiento.

- No había en el registro un tratamiento relativo a la activación de la tarjeta de transporte para poder abrir los contenedores de residuos.

- Y no había en el registro un tratamiento relativo a la utilización de la aplicación móvil para la apertura de contenedores de residuos.

En el momento de la presentación de la reclamación que dio origen al presente procedimiento sancionador, la parte reclamada infringía el artículo 30 del RGPD, pues el registro es de las actividades del tratamiento y los tratamientos citados no estaban ni previstos ni contemplados en el mismo.

Finalmente, hay que resaltar que la parte reclamada, en su escrito de alegaciones a la propuesta de resolución, ha manifestado que actualmente está actualizando el registro de actividades del tratamiento para que cumpla fielmente con las exigencias del artículo 30 del RGPD.

En conclusión, el registro de actividades del tratamiento no cumplía con los preceptuado en el artículo 30 del RGPD en el momento de la presentación de la reclamación que ha dado origen al presente procedimiento sancionador y es inexacto actualmente, lo que supone una infracción del artículo 30 del RGPD.

VIII

Señalaba la parte reclamada en su escrito de alegaciones al acuerdo de inicio, respecto a la presunta infracción de la falta de realización de la evaluación de impacto de datos personales (en adelante, EIPD), que “contrató una empresa especializada para la adecuación al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS, en adelante), y al Real Decreto 951/2015, de 23 de octubre de modificación del RD 3/2010. Durante la ejecución de dicho proyecto, se llevó a cabo una revisión de determinados aspectos del Reglamento (UE) 2016/679 (RGPD, en adelante) y de la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD).

Entre esos aspectos se encontraba la necesidad de efectuar evaluaciones de impacto relativas a los diferentes tratamientos.

El resultado de dicha revisión arrojó conclusiones similares a las que se habían obtenido en el análisis realizado por parte de la propia entidad y que se resumían en la no necesidad de realizar una evaluación de impacto relativa al tratamiento de datos personales derivado de la gestión de residuos.”

No obstante, en su escrito de alegaciones a la propuesta de resolución, la parte reclamada manifiesta que ha contratado un nuevo bufete, el cual ha realizado, con fecha 20 de junio de 2023, la evaluación de impacto relativa a la protección de datos del proyecto “Tarjeta de residuos y otros dispositivos”. Evaluación que adjunta al mencionado escrito de alegaciones.

Si bien con la elaboración de tal EIPD la parte reclamada cumple con lo regulado en el artículo 35 de la RGPD, se hace necesario poner de manifiesto que, en el momento de la presentación de la reclamación que ha dado lugar al presente procedimiento sancionador, es decir, en el 18 de noviembre de 2021, cuando estaba empezando a implantarse el sistema, la parte reclamada no había realizado EIPD porque, tal y como señaló en su escrito de alegaciones al acuerdo de inicio, el análisis de necesidad de Evaluación de Impacto de Datos Personales realizado por Auren “arrojó conclusiones similares a las que se habían obtenido en el análisis de la propia entidad y que se resumían en la no necesidad de realizar una evaluación de impacto relativa al tratamiento de datos personales derivado de la gestión de residuos.”

Toda vez que no nos constaba el análisis de necesidad que, decía la parte reclamada, había realizado, la propuesta de resolución del presente procedimiento sancionador, examinó el análisis de necesidad realizado por Auren en el año 2021, tras el cual se puso de manifiesto:

- Que no se había realizado un correcto análisis sobre si el tratamiento “Fichero de dispositivos electrónicos de apertura” necesita la realización de una EIPD.

- Que en el tratamiento de datos derivado de la implantación de un sistema de apertura de contenedores de residuos equipados con cerraduras electrónicas que se corresponden con Equipos de Control de Acceso (ECA) a tales contenedores, accionados mediante tarjeta o aplicación móvil vinculadas a una determinada dirección postal, concurren los siguientes criterios del WP248 del Grupo de Trabajo del Artículo 29:

- Observación sistemática

- Tratamiento de datos a gran escala

- Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas

- El propio tratamiento impide a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato

Esto es, se cumple con cuatro de los criterios, por lo que a la vista de lo que indicaba Auren en su análisis de necesidad de EIPD, se debería haber determinado que el tratamiento de datos personales derivado de la implantación de un sistema de apertura de contenedores de residuos equipados con cerraduras electrónicas que se corresponden con Equipos de Control de Acceso (ECA) a tales contenedores, accionados mediante tarjeta o aplicación móvil vinculadas a una determinada dirección postal, requería la realización de una EIPD. Tal y como se ha determinado en el análisis de necesidad realizado por MCP en fecha 20 de junio de 2023.

En conclusión, a la vista de la presentación por la parte reclamada de la evaluación de impacto relativa a la protección de datos del proyecto “Tarjeta de residuos y otros dispositivos” de fecha 20 de junio de 2023, en cuyo análisis de necesidad se determina la obligatoriedad de realizar una EIPD, y toda vez que no han cambiado las circunstancias del mencionado tratamiento de datos personales desde el inicio del mismo, la parte reclamada debería haber realizado tal EIPD antes del inicio del tratamiento de datos de carácter personal, lo que pone de manifiesto que la parte reclamada ha cometido una infracción del artículo 35 del RGPD.

IX

Considera la parte reclamada que la sanción consistente en el cese de todo tratamiento de datos personales relativos al sistema de apertura de contenedores de residuos mediante tarjeta electrónica o aplicación móvil vinculada al domicilio es desproporcionada, pues no logra una reacción efectiva, disuasoria y proporcionada a la violación.

Asimismo, considera que la propuesta de resolución no ha tenido en cuenta las circunstancias que recoge el artículo 83 del RGPD a la hora de graduar la sanción impuesta.

Hay que indicar al respecto que los poderes correctivos de las autoridades de control en materia de protección de datos se encuentran regulados en el artículo 58.2 del RGPD, entre los que se encuentra “imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular.” (letra i)

El precitado artículo 83 del RGPD regula las “Condiciones generales para la imposición de multas administrativas”, multas que, de conformidad con su apartado 1, son las que deben ser “efectivas, proporcionadas y disuasorias”, y para las que se tendrán en cuenta las circunstancias reguladas en su apartado 2 a efectos de determinar su cuantía.

Pero la propuesta de resolución del presente procedimiento no proponía sancionar a la parte reclamada con una multa administrativa, sino que, al amparo del artículo 83.7 del RGPD y del artículo 77 de la LOPDGDD (en la versión vigente en el momento en que se produjeron los hechos), proponía una sanción de apercibimiento. Sanción que se puede imponer a las autoridades y organismos públicos determinados en el artículo 77.1 de la LOPDGDD sin perjuicio del resto de poderes correctivos del artículo 58.2 del RGPD (artículo 83.7 del RGPD).

Y entre tales poderes correctivos se encuentra el que se propuso en la propuesta de resolución: “imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;” (artículo 58.2.f) del RGPD).

Y toda vez que la medida correctiva de limitación temporal o definitiva del tratamiento no es una sanción ni una multa administrativa, a tal limitación ni se la puede aplicar el principio de que la sanción sea efectiva, proporcional y disuasoria, ni las circunstancias del artículo 83.2 del RGPD.

Al fin y al cabo, con la medida correctiva propuesta, consistente en que la parte reclamada cese todo tratamiento de datos personales relativos al mencionado sistema de apertura de contenedores de residuos mediante de tarjeta electrónica o aplicación móvil vinculada al domicilio, no se está imponiendo una sanción, sino que se está evitando que la parte reclamada siga llevando a cabo un tratamiento de datos de carácter personal que, actualmente, no es lícito, toda vez que no cuenta con una de las bases de legitimación del artículo 6.1 del RGPD.

No obstante, la parte reclamada ofrece, en su escrito de alegaciones a la propuesta de resolución que, en vez del cese del tratamiento, se adopten una serie de medidas correctoras por parte de MCP para que el tratamiento “se adecúe 100% a las exigencias del Reglamento europeo de protección de datos y de la LOPDGDD y que se traducirían en las siguientes:

“1. Adecuación del Registro de actividades del tratamiento a las exigencias del artículo 30 del Reglamento europeo de protección de datos.

2. Mejora del deber de información haciendo hincapié en el principio de transparencia.

3. Llevar a cabo la Evaluación de Impacto en Protección de Datos de la aplicación móvil para abrir el contenedor y, si se cumplen los requisitos del artículo 36 del Reglamento Europeo de Protección de Datos, realizar previa consulta a la AEPD que determine la posibilidad de su uso.

4. Modificación de la ordenanza para concretar e incluir de manera expresa el objetivo indicado por la AEPD en materia de reciclaje.

5. El uso de la aplicación móvil podría ser suprimido si la AEPD lo estima adecuado una vez llevada a cabo la Evaluación de Impacto en Protección de Datos de la aplicación móvil para abrir el contenedor y, si se cumplen los requisitos del artículo 36 del Reglamento Europeo de Protección de Datos, realizar previa consulta a la AEPD.

6. La Mancomunidad muestra su más absoluta predisposición para adoptar múltiples medidas para adecuar al 100% el tratamiento de datos personales.

7. Aumentar la formación de todos los empleados respecto a sus obligaciones en materia de protección de datos.

8. Revisar las medidas de seguridad aplicadas a los datos personales objeto de tratamiento y, en caso de que se detecte un riesgo elevado para los datos personales, aumentar las medidas existentes.

9. Valorar la posibilidad de adherirse a códigos de conducta y/o mecanismos de certificación en materia de protección de datos.

10. Crear campañas de comunicación dirigidas a los ciudadanos haciendo hincapié en las razones -legales y de interés público- que justifican el tratamiento.”

Se hace necesario remarcar al respecto que tales actuaciones a las que se compromete la parte reclamada son obligaciones propias de un responsable del tratamiento, las cuales, en virtud del principio de responsabilidad proactiva regulado en el artículo 5.2 del RGPD, debería haber cumplido, junto con el resto de la normativa en materia de protección de datos, desde antes del inicio del tratamiento de datos de carácter personal y a lo largo de todo el tratamiento, así como ser capaz de demostrarlo. Lo cual, en el presente caso, no ha sucedido, como se ha expuesto con anterioridad.

X

El artículo 6.1 del RGPD señala que “El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”

SCPSA indica en su política de privacidad las siguientes bases de legitimación del tratamiento:

“- La tramitación es necesaria para cumplir una obligación legal a la cual está sujeto el Responsable;

- El tratamiento es necesario para el ejercicio de una tarea de interés público o para el ejercicio de poderes públicos conferidos al Responsable de datos;”

El artículo 8 de la LOPDGDD señala:

“1. El tratamiento de datos personales solo podrá considerarse fundado en cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1.e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.”

El artículo 12.5 de la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados señala que “Corresponde a las Entidades Locales, o a las Diputaciones Forales cuando proceda:

“a) Como servicio obligatorio, la recogida, el transporte y el tratamiento de los residuos domésticos generados en los hogares, comercios y servicios en la forma en que establezcan sus respectivas ordenanzas en el marco jurídico de lo establecido en esta Ley, de las que en su caso dicten las Comunidades Autónomas y de la normativa sectorial en materia de responsabilidad ampliada del productor. La prestación de este servicio corresponde a los municipios que podrán llevarla a cabo de forma independiente o asociada.”

A mayor abundamiento, la Ley 7/2022, de 8 de abril, de residuos y suelos contaminados para una economía circular, vigente desde el 10 de abril de 2022, señala en su artículo 12.5 que “Corresponde a las Entidades Locales, a las cuidades de Ceuta y Melilla o, cuando proceda, a las diputaciones forales:

a) Como servicio obligatorio, en todo su ámbito territorial, la recogida, el transporte y el tratamiento de los residuos domésticos en la forma en que establezcan sus respectivas ordenanzas, de conformidad con el marco jurídico establecido en esta ley, en las leyes e instrumentos de planificación que, en su caso, aprueben las comunidades autónomas y en la normativa sectorial en materia de responsabilidad ampliada del productor. A estos efectos, se deberá disponer de una red de recogida suficiente que incluirá puntos limpios o, en su caso, puntos de entrega alternativos que hayan sido acordados por la entidad local para la retirada gratuita de los mismos. La prestación de este servicio corresponde a los municipios que podrán llevarla a cabo de forma independiente o asociada, conforme a lo establecido en la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local.”

Esto es, no ha habido, ni hay, ninguna norma con rango de ley que obligue o legitime a MCP, en los términos previstos en el artículo 8 de la LOPDGDD, a realizar tratamiento de datos personales alguno para cumplir con sus obligaciones de recogida, transporte y tratamiento de los residuos domésticos.

Por lo expuesto, se considera que el tratamiento de datos personales del sistema de apertura de contenedores de residuos equipados con cerraduras electrónicas que se corresponden con Equipos de Control de Acceso (ECA) a tales contenedores, accionados mediante tarjeta vinculada a una determinada dirección postal, tarjeta de transporte activada para la apertura de contenedores o aplicación móvil vinculada a una determinada dirección postal se ha efectuado sin causa legitimadora, lo que supone la vulneración del artículo 6.1 del RGPD.

XI

El artículo 12.1 del RGPD señala que “El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda la información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito u otros medios, inclusive, si procede por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.”

Con carácter previo hemos de indicar, respecto a la referencia que hace SCPSA al PS/ 00201/2019 de esta Agencia, que este expediente sancionador fue incoado a MCP por un defecto en la información facilitada durante la prueba piloto del sistema de implantación de apertura de contenedores de residuos mediante tarjetas electrónicas, por lo que no sirve para prejuzgar la actuación de MCP respecto a la implantación del sistema.

Por otro lado, hay que señalar que SCPSA diferencia dos fases dentro de la implantación del sistema de apertura electrónica de contenedores de residuos con tarjetas electrónicas y aplicación móvil:

- Fase de implantación: A través de un buzoneo se adjuntaron dos tarjetas electrónicas vinculadas a su domicilio postal en las que también se informaba a las personas usuarias del servicio de cada zona cómo utilizar el sistema de contenedores con apertura electrónica.

- Fase de explotación: Cuando los usuarios del sistema pueden solicitar nuevas tarjetas, la activación de la tarjeta de transporte para la apertura de contenedores de residuos, o las credenciales para la aplicación móvil de apertura de contenedores.

En el presente caso, hay que diferenciar si la información se ha dado en la fase de implantación del sistema o bien en la fase de explotación del sistema, pues en el primer caso estamos hablando de la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (artículo 14 del RGPD) mientras que en el segundo supuesto nos debemos referir a la información que deberá facilitarse cuando los datos personales se obtengan del interesado.

El artículo 14 del RGPD, en cuanto a los datos personales que no se obtengan del interesado, señala:

“1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) las categorías de datos que se trate;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al lugar en que se hayan puesto a disposición.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar ese plazo;

b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;

c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como a la portabilidad de los datos;

d) cuando el tratamiento esté basado en el artículo 6, apartado 1 letra a), o el artículo9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;

e) el derecho a presentar una reclamación ante una autoridad de control;

f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

En el momento de implantación del sistema, las tarjetas que se repartieron, se acompañaron de una carta informativa explicando el modo de utilización de los contenedores de apertura electrónica, donde se hace referencia a la política de privacidad:

“En relación con los datos registrados por estas tarjetas y su tratamiento posterior, nos complace informarle que: Cada una de las tarjetas entregadas incorpora un dispositivo que permite registrar el número de aperturas de diferentes contenedores, dato que será asociado a la dirección postal indicada en el exterior de la tarjeta. Al tratarse de datos, en ocasiones relativos a una persona física identificada o identificable, la información obtenida referente a la apertura de contenedores será tratada conforme a la normativa de protección de datos de carácter personal. Todos los datos que se recaban como consecuencia de la utilización de estas tarjetas serán tratados bajo la responsabilidad de Servicios de la Comarca de Pamplona, S.A. (SCPSA), para analizar la utilización de los contenedores en las fracciones de materia orgánica y resto, y en concreto para conocer su grado de utilización con el fin de lograr los objetivos normativos de aplicación, así como la realización de actividades de informacion, promoción del servicio y sus resultados. Asimismo, le informamos de que podrá ejercer sus derechos de acceso, rectificación, supresión y el resto de los derechos que le asisten, dirigiéndose al Responsable del Tratamiento a través del correo protecciondatos@mcp.es. Puede consultar información adicional sobre privacidad en www.mcp.es/fichadatosresiduos”

Por otro lado, en las tarjetas repartidas figura el siguiente texto:

“Esta tarjeta es propiedad de Servicios de la Comarca de Pamplona SA y su uso está sujeto a las condiciones determinadas por ésta.

Responsable: Servicios de la Comarca de Pamplona SA

Puede ejercitar sus derechos en protecciondatos@mcp.es

Información adicional en www.mcp.es/fichadatosresiduos”

La parte reclamada en su escrito de 24 de enero de 2022 indicó que en el enlace relativo a la información adicional sobre privacidad, relativa al “FICHERO DE DISPOSITIVOS ELECTRÓNICOS DE APERTURA”, de fecha 15 de octubre de 2021, figura lo siguiente:

“- ¿Quién es el responsable del tratamiento de sus datos?

Identidad: Servicios de la Comarca de Pamplona, S.A.

Dirección postal: Calle General Chinchilla, nº 7, 31002. Pamplona

Correo electrónico: protecciondatos@mcp.es

Delegado de Protección de Datos: Chaverri & Loitegui, Abogados, Consultores

Dirección del Delegado de Protección de Datos: Avda. Baja Navarra, 2 Entreplanta of.3

Correo electrónico: protecciondatos@mcp.es

- ¿Con qué finalidad tratamos sus datos?

Los datos de apertura de los contenedores y de los buzones de materia orgánica y resto y, en su caso, envases obtenidos a partir de cada uno de los dispositivos electrónicos de apertura habilitados para ello serán tratados para analizar la utilización de esos contenedores y buzones y en concreto para conocer los índices de separación para así lograr los objetivos normativos de aplicación, así como para la realización de actividades de promoción del servicio y sus resultados

- ¿Por cuánto tiempo conservamos sus datos?

Los datos personales incorporados se conservarán durante el tiempo necesario para cumplir con la finalidad para la que han sido recabados y para determinar las posibles responsabilidades que se pudieran derivar de la finalidad y de su tratamiento, además de los períodos establecidos en la normativa de archivos y documentación.

- ¿Cuál es la legitimación para el tratamiento de sus datos?

- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

- Los datos que se facilitan por el interesado en referencia al domicilio asociado a los dispositivos de apertura.

- ¿A qué destinatarios se comunicarán sus datos?

- No están previstas comunicaciones de datos a terceros a salvo de las previstas legalmente.

- No se realizarán transferencias internacionales de datos.

- ¿Cuáles son sus derechos cuando nos facilita sus datos?

Cualquier persona tiene derecho a obtener información sobre el tratamiento de sus datos.

Las personas interesadas tienen derecho a acceder a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los cuales fueron recogidos.

En determinadas circunstancias, los interesados podrán solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio de derechos o la defensa de reclamaciones.

En determinadas circunstancias y por motivos relacionados con su situación particular, los interesados podrán oponerse al tratamiento de sus datos. Servicios de la Comarca de Pamplona, S.A., dejará de tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.

De igual manera, el interesado tiene el derecho a la portabilidad de sus datos.

Si considera que los datos no han sido correctamente tratados, podrá ponerlo en nuestro conocimiento a través de la dirección de correo electrónico protecciondatos@mcp.es y posteriormente acudir ante la autoridad de control, o acudir directamente a la autoridad de control.

- ¿Cómo hemos obtenido sus datos?

- De los datos de uso de los dispositivos electrónicos de apertura por el interesado.

- Del registro de Riqueza Territorial aprobado por Ley Foral 12/2006, de 21 de noviembre.

- Los tipos de datos que se tratan son:

- Identificativos y de contacto: Nombre, apellidos, dirección postal asociada, dirección de correo electrónico y número de teléfono

- De transacciones: Datos de uso de los dispositivos electrónicos de apertura vinculados a la dirección postal”

De conformidad con la diligencia realizada por la Inspección de la AEPD el 13 de junio de 2022, en la página web www.mcp.es/fichadatosresiduos, se encontraba la siguiente información adicional sobre protección de datos relativa al “FICHERO DE DISPOSITIVOS ELECTRÓNICOS DE APERTURA”, de fecha 15 de octubre de 2021:

- ¿Quién es el responsable del tratamiento de sus datos?

Identidad: Servicios de la Comarca de Pamplona, S.A.

Dirección postal: Calle General Chinchilla, nº 7, 31002. Pamplona

Correo electrónico: protecciondatos@mcp.es

Delegado de Protección de Datos: Chaverri & Loitegui, Abogados, Consultores

Dirección del Delegado de Protección de Datos: Avda. Baja Navarra, 2 Entreplanta of.3

Correo electrónico: protecciondatos@mcp.es

- ¿Con qué finalidad tratamos sus datos?

Los datos de apertura de los contenedores por cada una de las tarjetas serán tratados para analizar la utilización de los contenedores en las fracciones de materia orgánica y resto y en concreto para conocer los índices de separación para así lograr los objetivos normativos de aplicación, así como para la realización de actividades de promoción del servicio y sus resultados

- ¿Por cuánto tiempo conservamos sus datos?

Los datos personales incorporados se conservarán durante el tiempo necesario para cumplir con la finalidad para la que han sido recabados y para determinar las posibles responsabilidades que se pudieran derivar de la finalidad y de su tratamiento, además de los períodos establecidos en la normativa de archivos y documentación.

- ¿Cuál es la legitimación para el tratamiento de sus datos?

- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

- ¿A qué destinatarios se comunicarán sus datos?

- No están previstas comunicaciones de datos a terceros a salvo de las previstas legalmente.

- No se realizarán transferencias internacionales de datos.

- ¿Cuáles son sus derechos cuando nos facilita sus datos?

Cualquier persona tiene derecho a obtener información sobre el tratamiento de sus datos.

Las personas interesadas tienen derecho a acceder a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los cuales fueron recogidos.

En determinadas circunstancias, los interesados podrán solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio de derechos o la defensa de reclamaciones.

En determinadas circunstancias y por motivos relacionados con su situación particular, los interesados podrán oponerse al tratamiento de sus datos. Servicios de la Comarca de Pamplona, S.A., dejará de tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.

De igual manera, el interesado tiene el derecho a la portabilidad de sus datos.

Si considera que los datos no han sido correctamente tratados, podrá ponerlo en nuestro conocimiento a través de la dirección de correo electrónico protecciondatos@mcp.es y posteriormente acudir ante la autoridad de control, o acudir directamente a la autoridad de control.

- ¿Cómo hemos obtenido sus datos?

- De los datos de uso de los dispositivos electrónicos de apertura por el interesado.

- Del registro de Riqueza Territorial aprobado por Ley Foral 12/2006, de 21 de noviembre.

- Los tipos de datos que se tratan son:

- Identificativos y de contacto: Nombre y apellidos, Dirección postal asociada

- De transacciones: Datos de uso de las tarjetas vinculadas a la dirección postal”

Al respecto, se observan las siguientes irregularidades en la información:

- Artículo 14.1.c) del RGPD: “los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento”. Con independencia de que ya hemos indicado en el anterior fundamento de derecho que la base jurídica del tratamiento no se basa ni en una obligación legal ni en una misión de interés público o ejercicio de poderes públicos, no se hace referencia en la información, tal y como mandata el RGPD, a ninguna norma de Derecho de la Unión Europea o norma con rango de ley.

Además, en la versión de 15 de octubre de 2021 de información adicional sobre protección de datos relativa al tratamiento “Fichero de tarjeta de residuos”, que la parte reclamada indicaba en su escrito de 24 de enero de 2022 que era la publicada, se señala como otra de las bases de legitimación del tratamiento “Los datos que se facilitan por el interesado en referencia al domicilio asociado a los dispositivos de apertura”. Afirmación que no concuerda con ninguna de las bases jurídicas del tratamiento reguladas en el artículo 6.1 del RGPD.

- En la versión de 15 de octubre de 2021 de información adicional sobre protección de datos relativa al tratamiento “Fichero de tarjeta de residuos”, que la parte reclamada indicaba en su escrito de 24 de enero de 2022 que era la publicada, se indica que los datos que se tratan son, en relación con los identificativos y de contacto, el “Nombre, apellidos, dirección postal asociada, dirección de correo electrónico y número de teléfono”. Mientras que en el apartado relativo a “¿Cómo hemos extraído sus datos” se indica que éstos se han extraído de los datos de uso de los dispositivos electrónicos de apertura por el interesado y del registro de Riqueza Territorial aprobado por Ley Foral 12/2006, de 21 de noviembre.

El único dato que se ha extraído del registro de Riqueza Territorial es la dirección postal, tal y como lo ha reconocido la parte reclamada en su escrito de alegaciones al acuerdo de inicio.

Pero a través de las solicitudes de nuevas tarjetas, de activación de la tarjeta de transporte para la apertura de contenedores de residuos, y/o de las credenciales para poder activar la aplicación móvil de apertura de contenedores de residuos se extraen, no solamente los datos indicados (“Nombre, apellidos, dirección postal asociada, dirección de correo electrónico y número de teléfono”) sino también otros no referidos, en concreto el D.N.I., la firma y la dirección de correo electrónico.

Por lo que hay una discordancia tanto en la enumeración de datos tratados como en la indicación de todas las fuentes de las que proceden los datos personales, de conformidad con el artículo 14.2.f) del RGPD.

Por otro lado, el artículo 13 del RGPD, en cuanto a los datos obtenidos del interesado, señala que:

“1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho de portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;

f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

Para el momento de explotación del sistema, es decir, cuando los usuarios del sistema pueden solicitar nuevas tarjetas, la activación de la tarjeta de transporte para la apertura de contenedores de residuos, o las credenciales para la aplicación móvil de apertura de contenedores, tales solicitudes indican lo siguiente:

“En cumplimiento de lo establecido en el Reglamento General de Protección de Datos, le informamos que los datos que se recaban en el presente formulario serán incorporados a un fichero con la finalidad de gestionar el servicio de apertura de contenedores por medio de tarjeta electrónica. Dichos datos no serán cedidos a terceros salvo las previsiones legales. Asimismo, le informamos que el responsable del fichero será SCPSA a quien podrá dirigirse con el fin de ejercitar sus derechos de acceso, rectificación, supresión y el resto de los derechos que le asisten a través del correo protecciondatos@mcp.es.

Puede consultar información adicional sobre privacidad en el siguiente enlace www.mcp.es/fichadatosresiduos” (el subrayado es nuestro).

Al contestar a tales solicitudes, se les envía una carta, cuyo contenido, en materia de protección de datos personales, varía en función de la solicitud:

- En el caso de tratarse de una solicitud de una nueva tarjeta, se indica lo siguiente:

“En relación con los datos registrados por estas tarjetas y su tratamiento posterior, nos complace informarle que: «Cada una de las tarjetas entregadas incorpora un dispositivo que permite registrar el número de aperturas de los diferentes contenedores, dato que será asociado a la dirección postal indicada en el exterior de la tarjeta. Al tratarse de datos, en ocasiones relativos a una persona identificada o identificable, la información obtenida referente a la apertura de contenedores será tratada conforme a la normativa de protección de datos de carácter personal. Todos los datos que se recaban como consecuencia de la utilización de estas tarjetas serán tratados bajo la responsabilidad de Servicios de la Comarca de Pamplona, S.A. (SCPSA), para analizar la utilización de los contenedores en las fracciones de materia orgánica y resto, y en concreto para conocer su grado de utilización con el fin de alcanzar los objetivos normativos de aplicación, así como para la realización de actividades de información, promoción del servicio y sus resultados. Asimismo, le informamos de que podrá ejercitar sus derechos de acceso, rectificación, supresión y el resto de derechos que le asisten, dirigiéndose al Responsable del Tratamiento a través del correo protecciondatos@mcp. es. Puede consultar información adicional sobre privacidad en www.mcp.es/fichadatosresiduos».” (el subrayado es nuestro).

- En el caso de tratarse de solicitudes para la activación de una tarjeta de transporte para abrir electrónicamente los contenedores de residuos, o para el envío de credenciales para la aplicación móvil de apertura de contenedores de residuos, se indica lo siguiente:

“Esta comunicación electrónica ha sido enviada por Servicios de la Comarca de Pamplona, S.A. (SCPSA) responsable del tratamiento de los datos facilitados. Esta dirección de correo ha sido facilitada por usted para la recepción de mensajes. Recibe esta comunicación electrónica en base a la solicitud de activación de tarjeta (en el caso de una solicitud de credenciales para la aplicación móvil se indica que “Recibe esta comunicación electrónica en base a la solicitud relacionada con la aplicación móvil”).

Puede ejercitar sus derechos de acceso, rectificación, cancelación, oposición y demás derechos garantizados por la normativa vigente en materia de protección dirigiéndoselo al Responsable del Tratamiento a través del correo protecciondatos@mcp.es. Puede consultar información adicional sobre privacidad en www.mcp.es/fichadatosresiduos.” (el subrayado es nuestro).

Es decir, que la información adicional sobre privacidad en los casos de solicitudes de nuevas tarjetas, de la activación de la tarjeta de transporte para la apertura de contenedores de residuos, o de las credenciales para la aplicación móvil de apertura de contenedores, es la misma que la anteriormente descrita para la fase de implantación del sistema.

Al respecto, se observan las siguientes irregularidades en la información:

- Artículo 13.1.c) del RGPD: “los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento”. Acontece lo mismo que hemos indicado respecto al artículo 14.1.c), por lo que nos remitimos a lo indicado anteriormente al respecto.

- Artículo 13.2.e) del RGPD: No se informa a los interesados si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.

A mayor abundamiento, y tal y como reconoce la parte reclamada en su escrito de alegaciones al acuerdo de inicio, se observa que, tanto en la fase de implantación del sistema como en la fase de explotación del sistema, en el momento de dar la información a los interesados se indica que el responsable es SCPSA, si bien tanto el correo electrónico para ejercitar los derechos (protecciondatos@mcp.es) como la página web donde se encuentra la información adicional sobre privacidad del sistema (www.mcp.es/fichadatosresiduos) son de MCP, lo que induce a confusión a los interesados, redundando en la falta de transparencia que impone el artículo 12 del RGPD al suministrar la información a los interesados.

Por lo expuesto, se considera que existen evidencias de que a los interesados no se les ha facilitado toda la información indicada en los artículos 13 y 14, lo que supone la vulneración del artículo 12.1 del RGPD, así como de los precitados artículos 13 y 14 del RGPD.

XII

El artículo 30 del RGPD, relativo al registro de las actividades del tratamiento, indica: “1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas a que se refiere el artículo 32, apartado 1.”

En relación con el Registro de Actividades de Tratamiento relativos a la gestión de residuos, la parte reclamada ha aportado:

- El Registro de Actividades del Tratamiento tras la ampliación sufrida a consecuencia del expediente sancionador incoado por la AEPD a MCP con fecha 14 de noviembre de 2019, el cual era el que estaba en vigor en el momento de la presentación de la reclamación que ha dado origen al presente procedimiento sancionador.

En este registro hay dos ficheros relativos a la gestión de residuos: “Gestión de clientes. Recogida de residuos” y “Gestión de clientes. Tratamiento de residuos.”

En ellos consta la información exigida en el mencionado precepto del RGPD, si bien figura SCPSA como responsable del tratamiento. Y ya se ha indicado que es la parte reclamada (MCP) la responsable del tratamiento, siendo SCPSA el encargado del tratamiento de la primera.

Por otro lado, no se incluía en este registro ningún tratamiento relativo a la activación de la tarjeta de transporte para poder abrir los contenedores de residuos así como ningún fichero relativo a la utilización de la aplicación móvil para la apertura de tales contenedores de residuos.

- El Registro de Actividades del Tratamiento aprobado en el Comité de Seguridad de SCPSA de fecha 23 de febrero de 2022.

En este registro hay un fichero relativo a la gestión de residuos: “Tarjetas residuos y otros dispositivos”. En él, si bien consta la información exigida en el artículo 30 del RGPD, figura SCPSA como responsable del tratamiento. Y ya se ha indicado que es la parte reclamada (MCP) la responsable del tratamiento, siendo SCPSA el encargado de del tratamiento de la primera.

Por lo expuesto, se considera que existen evidencias de que:

- En el registro de actividades del tratamiento en vigor en el momento de la presentación de la reclamación que ha dado lugar al actual procedimiento sancionador, no figuraba en el registro los tratamientos de datos que realizaba la parte reclamada (i) cuando se solicitaba la activación de la tarjeta de transporte para poder abrir los contenedores de residuos, ni (ii) cuando se solicitaban las credenciales para usar la aplicación móvil para la apertura de tales contenedores de residuos.

- En el registro de las actividades del tratamiento constaba, y consta, de manera incorrecta parte de la información exigida en la normativa.

Lo que supone la vulneración del artículo 30.1 del RGPD.

XIII

El artículo 35 del RGPD establece la obligación de disponer de una Evaluación de Impacto en la Protección de los Datos Personales (EIPD), señalando:

“1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público.

4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68.

5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.

6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.

7. La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.

9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e),tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.

11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.”

Tal y como indican las Directrices WP 248, del Grupo de Trabajo del Artículo 29, sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD, “Las palabras «en particular» indicadas en la frase introductoria del artículo 35, apartado 3 del RGPD se refieren a una lista no exhaustiva. Pueden existir operaciones de tratamiento de «alto riesgo» que no estén incluidas en esta lista pero que supongan unos riesgos similarmente elevados. Estas operaciones de tratamiento también deben someterse a una EIPD. Por este motivo, los criterios desarrollados a continuación van, en ocasiones, más allá de una simple explicación de lo que debería entenderse a partir de los tres ejemplos indicados en el artículo 35, apartado 3 del RGPD.

Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que requieran una EIPD debido a su inherente alto riesgo, teniendo en cuenta los elementos particulares del artículo 35, apartado 1, y del artículo 35, apartado 3, letras a) a c), la lista que debe adoptarse a nivel nacional en virtud del artículo 35, apartado 4, y los considerandos 71, 75 y 91, y otras referencias del RGPD a operaciones de tratamiento que «probablemente entrañen un alto riesgo», se deben considerar los nueve criterios siguientes:”

“3. Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática [...] de una zona de acceso público» [artículo 35, apartado 3, letra c)]”.

A través del uso de las tarjetas electrónicas y de la aplicación móvil para la apertura de los contenedores existe la posibilidad de observar, supervisar y controlar cuántas veces, cuándo y dónde se abren los diferentes contenedores (materia orgánica o resto) por los usuarios del servicio.

“5. Tratamiento de datos a gran escala: el RGPD no define qué se entiende por gran escala, aunque el considerando 91 ofrece alguna orientación. En cualquier caso, el GT29 recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

a) el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

b) el volumen de datos o la variedad de elementos de datos distintos que se procesan;

c) la duración, o permanencia, de la actividad de tratamiento de datos;

d) el alcance geográfico de la actividad de tratamiento.”

En el presente caso, se pretende implantar el sistema de apertura de contenedores a través de tarjetas electrónicas y/o la aplicación móvil para la totalidad de la población que integra MCP, por lo que se cumple el presente criterio.

“8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc.”

En este sentido, hay que indicar que el sistema automático de apertura de contenedores implica una nueva forma de forma de recogida de datos, dado que se debe utilizar la tarjeta proporcionada a los interesados o la aplicación móvil (SIGMA MCP) para proceder a la apertura de los contenedores.

“9. Cuando el propio tratamiento «impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato» (artículo 22 y considerando 91). Esto incluye operaciones de tratamiento destinadas a permitir, modificar o denegar el acceso de los interesados a un servicio o a un contrato.”

En esta línea hay que indicar que los interesados deben usar las tarjetas electrónicas o la aplicación móvil para la apertura de los contenedores automáticos si quieren depositar sus residuos, tal y como se establece en la Ordenanza reguladora de la gestión de los residuos en la MCP.

A la vista de lo anterior, se observa que el tratamiento de datos personales objeto del presente procedimiento cumple con cuatro de los nueve criterios recogidos por el Grupo de Trabajo del Artículo 29, por lo que debería de haberse realizado una EIPD dado el alto riesgo que entraña en los derechos y libertades de las personas físicas, lo que supone, a la vista de las evidencias existentes, la vulneración del artículo 35 del RGPD.

XIV

De conformidad con las evidencias de las que se dispone, se considera que los hechos expuestos vulneran lo dispuesto en los artículos 6.1, 12.1, 13, 14, 30.1 y 35 del RGPD, lo que, de confirmarse, podría suponer la comisión de las infracciones tipificadas en el artículo 83 apartados 4.a), 5.a) y 5.b) del RGPD, que disponen lo siguiente:

“4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;

(…)

5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

b) los derechos de los interesados a tenor de los artículos 12 a 22;”

A este respecto, la LOPDGDD, en su artículo 71 establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.

A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD indica:

“Artículo 72. Infracciones consideradas muy graves.

1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.”

Por otro lado, el artículo 73 de la LOPDGDD indica, a efectos del plazo de prescripción:

“Artículo 73. Infracciones consideradas graves.

1. En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

(…)

t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible”

Finalmente, el artículo 74 indica, a efectos del plazo de prescripción:

“Artículo 74. Infracciones consideradas leves.

Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:

a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.

(…)

l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679.”

XV

El artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD en su apartado 7 establece:

“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”

Asimismo, el artículo 77 “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(…)

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. (…)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.”

En el presente caso, conforme acreditan los hechos probados, se estima adecuado sancionar con apercibimiento a la parte reclamada, por la infracción de los artículos 6.1, 12.1, 13, 14, 30.1 y 35 del RGPD.

XVI

El artículo 58.2.f) del RGPD dispone que cada autoridad de control podrá “imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;”

La imposición de estas medidas es compatible con la sanción consistente en apercibimiento, según lo dispuesto en el artículo 83.7 del RGPD.

Se acuerda imponer a MCP la medida prevista en el artículo 58.2.f) RGPD, consistente en el cese de todo tratamiento de datos personales relativos al mencionado sistema de apertura de contenedores de residuos mediante tarjeta electrónica o aplicación móvil vinculada al domicilio por la infracción del artículo 6.1 del RGPD.

Esta AEPD quiere matizar que el cese de este tratamiento de datos de carácter personal se debe a que la parte reclamada no cumple con las previsiones del RGPD, y ello sin afectar a otros tratamientos ulteriores que, en relación con la gestión de residuos, pueda llevar a cabo la parte reclamante siempre y cuando cumpla íntegramente con las obligaciones previstas en el RGPD.

Se advierte que no atender la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.

EN CONCLUSIÓN:

La parte reclamada ha ido implantando, desde otoño de 2021, un sistema de apertura de contenedores de residuos equipados con cerraduras electrónicas que se corresponden con Equipos de Control de Acceso (ECA) a tales contenedores, accionados mediante tarjeta vinculada a una determinada dirección postal, tarjeta de transporte activada para la apertura de contenedores o aplicación móvil vinculada a una determinada dirección postal.

Si bien las tarjetas electrónicas para la apertura de contenedores de residuos en un primer momento fueron buzoneadas, con posterioridad las personas han podido: Solicitar una nueva tarjeta (en casos de pérdida, avería, rotura, cambio de domicilio), solicitar la activación de la tarjeta de transporte para la apertura de contenedores de residuos, solicitar credenciales para poder activar la aplicación móvil de apertura de contenedores de residuos.

En estos casos, además de tratar el dato personal del domicilio postal, se han tratado nuevos datos personales derivados de la recogida y registro de la presentación de las mencionadas solicitudes: DNI, nombre y apellidos, dirección de correo electrónico, número de teléfono, dirección postal, IDE tarjeta transporte, firma.

El tratamiento que ha realizado, y realiza, la parte reclamada ha infringido los siguientes artículos del RGPD:

1.- Artículo 6.1 del RGPD toda vez que no hay causa legitimadora que ampare el tratamiento de datos de carácter personal objeto del expediente sancionador.

En el momento de la presentación de la reclamación ante la AEPD el tratamiento no era lícito porque:

1.- El tratamiento de datos personales que realizaba la parte reclamada no era lícito para la sola consecución de los objetivos de separación de residuos en origen que establecía la normativa, pues:

a) el tratamiento no puede considerarse fundado en cumplimiento de una obligación legal exigible al responsable del tratamiento porque la Ley 22/2011, de 28 de julio, de residuos y suelos contaminados, no obliga a ésta a realizar tratamiento alguno de datos personales para llevar a cabo el ejercicio de sus competencias de recogida, transporte y tratamiento de los residuos domésticos.

b) el tratamiento tampoco puede considerarse fundado en una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. La Ordenanza reguladora de la gestión de residuos de MCP, último nivel de concreción normativa al que la Ley 22/2011, de 28 de julio, de residuos y suelo contaminados, habilitaba para determinar los medios de cómo realizar tal gestión de los residuos, no prevé la recogida de datos de carácter personal para el uso que se realice de los distintos contenedores por cada domicilio.

A este respecto hay que significar que el sistema desarrollado no permite identificar si un determinado ciudadano gestiona sus residuos de acuerdo a lo que establece la ordenanza, sino que sólo permite saber si abre o no un determinado contenedor de residuos.

2.- La parte reclamada no realizaba un tratamiento de datos en relación con sus competencias de inspección y de sanción en materia de gestión de residuos. No obstante, con este sistema parece difícil que lo hubiera podido realizar, dado que no se puede identificar a las personas concretas que tiran un determinado residuo en un contenedor.

3.- La parte reclamada no había implantado una tasa relativa a la separación de residuos en origen ni la LRSCEC todavía no había entrado en vigor, por lo que no había obligación de implantar la tasa regulada en su artículo 11.3. Con relación a esto, debe tenerse en cuenta lo indicado anteriormente respecto a que con el sistema de separación de residuos en origen que implantó la parte reclamada, sólo se sabía si las personas abrían o no un determinado contenedor.

Actualmente el tratamiento que realiza la parte reclamada tampoco es lícito, toda vez que:

1.- El tratamiento de datos personales que actualmente realiza la parte reclamada no es lícito para la sola consecución de los objetivos de separación de residuos en origen que establecía la normativa, pues:

a) el tratamiento no puede considerarse fundado en cumplimiento de una obligación legal exigible al responsable del tratamiento porque la LRSCEC no obliga a ésta a realizar tratamiento alguno de datos personales para llevar a cabo el ejercicio de sus competencias de recogida, transporte y tratamiento de los residuos domésticos.

b) el tratamiento tampoco puede considerarse fundado en una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. La Ordenanza reguladora de la gestión de residuos de MCP, último nivel de concreción normativa al que la LRSCEC habilita para determinar los medios de cómo realizar tal gestión de los residuos, solo contempla la recogida de datos de uso de los contenedores, no prevé la recogida de datos de carácter personal para el uso que se realice de los distintos contenedores por cada domicilio.

2.- La parte reclamada sigue sin llevar a cabo un tratamiento de datos en relación con sus competencias de inspección y de sanción en materia de gestión de residuos.

3.- La tasa regulada en el artículo 11.3 de la LRSCEC todavía no ha sido implantada, por lo que tampoco en la actualidad ésta está realizando un tratamiento de datos en relación con la gestión de una tasa basada en el sistema de pago por generación de residuos.

A efectos meramente aclaratorios, indicar que:

- La Ordenanza reguladora de la gestión de residuos de MCP contempla solamente la recogida de datos de los contenedores con objeto de conocer su grado de utilización para lograr los objetivos normativos, así como para la realización de actividades de promoción del servicio y sus resultados.

- la Ordenanza reguladora de la gestión de residuos de MCP no prevé el tratamiento de datos de carácter personal.

- El dato del domicilio postal, amén de otros datos de carácter personal que utilizan, es un dato de carácter personal en si mismo.

- El dato personal del domicilio postal no sirve para la consecución de los objetivos de separación de residuos en origen.

2.- Artículo 12, 13 y 14 del RGPD.

Dentro de la implantación del sistema de apertura electrónica de contenedores de residuos con tarjetas electrónicas y aplicación móvil ha habido dos fases:

- Fase de implantación: A través de un buzoneo, se adjuntaron dos tarjetas electrónicas vinculadas al domicilio postal en las que también se informaba a las personas usuarias del servicio de cada zona cómo utilizar el sistema de contenedores con apertura electrónica.

- Fase de explotación: En la que los usuarios del sistema pueden solicitar nuevas tarjetas, la activación de la tarjeta de transporte para la apertura de contenedores de residuos, o las credenciales para la aplicación móvil de apertura de contenedores.

En el primer caso estamos hablando de la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (artículo 14 del RGPD) mientras que en el segundo supuesto nos debemos referir a la información que deberá facilitarse cuando los datos personales se obtengan del interesado (artículo 13 del RGPD).

Tanto en un caso como en otro, la información facilitada era incompleta.

3.- Artículo 30 del RGPD.

En el registro de actividades del tratamiento en el momento de la presentación de la reclamación:

- Había una inexactitud en el extremo del responsable del tratamiento, pues figuraba SCPSA en vez de MCP.

- No había en el registro un tratamiento relativo a la activación de la tarjeta de transporte para poder abrir los contenedores de residuos.

- Y no había en el registro un tratamiento relativo a la utilización de la aplicación móvil para la apertura de contenedores de residuos.

En el registro de actividades del tratamiento actual, sigue siendo inexacto el extremo del responsable del tratamiento, pues figura SCPSA en vez de MCP.

4.- Artículo 35 del RGPD.

La parte reclamada presentó, junto a sus alegaciones a la propuesta de resolución, la evaluación de impacto relativa a la protección de datos del proyecto “Tarjeta de residuos y otros dispositivos” de fecha 20 de junio de 2023, en cuyo análisis de necesidad se determina la obligatoriedad de realizar una EIPD.

Toda vez que no han cambiado las circunstancias del mencionado tratamiento de datos personales desde el inicio del mismo, la parte reclamada debería haber realizado tal EIPD antes del inicio del tratamiento de datos de carácter personal.

Para finalizar, se hace necesario poner de relieve que la parte reclamada, a lo largo de todo el procedimiento, ha pretendido ir cumpliendo con algunas de sus obligaciones en materia de protección de datos, a golpe de presentación de documentación elaborada ad hoc (ante las infracciones puestas de manifiesto por la AEPD), en un intento de justificar la adecuación del tratamiento de datos personales a la normativa. De igual forma ha manifestado de manera reiterada una serie de compromisos de que va a cumplir con el RGPD sin acreditar cumplimiento alguno.

Asimismo, en su intento de justificar la legitimación del tratamiento, ha incurrido en numerosas, continuas y flagrantes contradicciones respecto del mismo, como, por ejemplo, cuando indica que el tratamiento del domicilio postal no es imprescindible y sin embargo lo trata, o como cuando indica que con el dato del domicilio postal no se puede determinar quién tira el residuo a un contenedor y pretende ejercer la potestad inspectora y sancionadora.

Respecto de lo anterior, hemos de significar que el cumplimiento de la normativa en materia de protección de datos no consiste en compromisos, sino en el cumplimiento de manera efectiva, en tiempo y forma, de las obligaciones impuestas por el RGPD a los responsables del tratamiento. No olvidemos que está en juego un derecho fundamental de los ciudadanos que las Administraciones Públicas tienen la obligación de garantizar.

Muchas de esas obligaciones, como la relativa a la elaboración del registro de actividades del tratamiento, la elaboración de la información que ha de suministrarse a los interesados, o la realización de la EIPD, debería haberlas cumplido la parte reclamada antes de poner en marcha de manera efectiva el tratamiento de datos personales. Hacerlo posteriormente no responde ni al principio de responsabilidad proactiva regulado en el artículo 5.2 del RGPD ni a la privacidad desde el diseño regulada en el artículo 25.1 del RGPD.

No obstante, hay que recordar que con independencia de todas las modificaciones que realice al registro de actividades del tratamiento, adecúe la información que tiene que dar a los interesados a la normativa de protección de datos, así como realice EIPD, el tratamiento de datos de carácter personal no es lícito, por lo que no puede llevarse a cabo.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos: