Infracción del principio de minimización de datos en un comunicado municipal al identificar nominalmente al demandante en un litigio contra el ayuntamiento

I Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.

El artículo 63.2 de la LOPDGDD determina que "Los procedimientos tramitados por la

Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Cuestiones previas

El AYUNTAMIENTO en el ejercicio de las funciones que tiene legalmente atribuidas, requiere tratar datos de carácter personal de los ciudadanos.

El artículo 4.2. del RGPD define el tratamiento como "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción."

En virtud del artículo 4.7 del RGPD el AYUNTAMIENTO tiene la condición de responsable del tratamiento de datos de la parte reclamante que es objeto de examen en el presente procedimiento, pues es quien determinó los fines y medios de esa operación de tratamiento.

El artículo 4.7 del RGPD define al responsable como "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros".

El tratamiento objeto de la presente reclamación consistió en publicar el nombre y apellidos del reclamante relacionado con información relativa a un contencioso judicial que mantenían ambas partes.

III Contestación a las Alegaciones al acuerdo de inicio

En respuesta a las alegaciones presentadas por el AYUNTAMIENTO se debe señalar lo siguiente:

0. En relación con la primera de las alegaciones, relativa a las consideraciones previas efectuadas por el Ayuntamiento, relativas a que el titular de los datos personales publicados, sin ser un "personaje público" es conocido en el municipio por ser representante de una asociación cultural y por su alto nivel de litigiosidad frente al ayuntamiento.

En primer término, se aclara que la reclamación fue presentada por el afectado por considerar vulnerado su derecho fundamental a la protección de datos. Esto es, la AEPD recibió una reclamación conforme al artículo 77 del RGPD.

Además, si bien el propio Ayuntamiento señala que la parte reclamante no tiene la consideración de persona pública, se aclara que el grado de conocimiento de una persona no implica que su derecho fundamental a la protección de datos se vea mermada.

Asimismo, pareciera, de acuerdo con las alegaciones efectuadas, que el hecho de resultar una persona que presenta mayor litigiosidad con una administración local, habilita a esta a la difusión de sus datos personales sin tener presentes las prerrogativas establecidas en la normativa en materia de protección de datos ni el alcance de su actuación.

1. En cuanto a las alegaciones relativas a la falta de tipicidad en tanto que la base jurídica era adecuada, así como su conexión con transparencia.

Conviene, en primer, término realizar una serie de aclaraciones, pues de las alegaciones de la parte reclamada parece confundirse el artículo 6 y el artículo 5 del RGPD.

El artículo 6 del RGPD regula las bases de legitimación. Es decir, para que un tratamiento de datos personales se considere válido, ha de contar con alguna de estas circunstancias tasadas. En caso contrario, el tratamiento tendrá la consideración de ilícito.

Por otra parte, aun cuando un tratamiento de datos personales fuera lícito por contar con una de las bases de legitimación del artículo 6 del RGPD, ha de cumplir con todos y cada uno de los principios del tratamiento previstos en el artículo 5 de la misma norma. Entre estos principios, destaca el principio de minimización contenido en el artículo 5.1 c) del RGPD por el que los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con la finalidad que se persigue. El objeto del presente procedimiento sancionador es, precisamente, este. Esto es, no se cuestiona la existencia o no de una base de legitimación o que el tratamiento no pudiera hacerse; simplemente que no podía hacerse en los términos realizados por resultar los datos difundidos excesivos o necesarios para la finalidad pretendida.

Por otra parte, no puede ignorarse que, precisamente, la alegada exigencia de publicidad activa contenida en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno a la que hace referencia el AYUNTAMIENTO, prevé específicamente la ponderación en el cumplimiento de esas obligaciones con el derecho a la protección de datos personales. Así, las mencionadas obligaciones de publicidad activa se refieren a cuestiones que han de ser conocidas sin necesidad de petición expresa por parte de un interesado por cuanto son relevantes para rendir cuentas por la actuación pública. En el presente caso, esta finalidad de proporcionar información debida a los ciudadanos se hubiese cumplido sin necesidad de proporcionar los datos identificativos del reclamante, que suponen dar a conocer información accesoria que vulnera su derecho a la protección de datos.

En cualquiera de los casos, aun entendiendo que existe base de legitimación para el tratamiento, este no puede realizarse de cualquier manera, sino en el respeto a unos principios del tratamiento.

Por otra parte, en relación con el supuesto juicio de proporcionalidad que asegura haber realizado el AYUNTAMIENTO con carácter previo a la publicación, debe insistirse en la importancia de identificar adecuadamente cada uno de los conceptos que han de ser objeto de evaluación. En este sentido, el TC en su STC 14/2023:

"(…) si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)".

Asimismo, en relación con la necesidad el Tribunal Europeo de Derechos Humanos (TEDH) ha ofrecido también directrices para interpretar el concepto de necesidad. En el apartado 97 de su Sentencia de 25/03/1983 afirma que el adjetivo necesario no tiene la flexibilidad de las expresiones "admisible, "ordinario", "útil", "razonable" o "deseable". Se trata, en definitiva, de que sea la única opción existente atendiendo a un triple juicio de proporcionalidad, de entre todas las posibles.

En el presente caso, la difusión del nombre y apellidos de la parte reclamante no se aprecia necesaria en ningún caso para alcanzar la supuesta finalidad pretendida, bastando para la adecuada comprensión de los hechos y, en su caso, la verificación por parte de la ciudadanía y rendición de cuentas, la descripción del objeto de la demanda y el resto de elementos contenidos en el comunicado, incluida la intención de presentar un recurso frente a la sentencia recibida por la que se obliga a la retirada de una bandera del balcón del ayuntamiento.

Para informar de tales hechos, no resulta necesario (esto es, indispensable) incidir en la identidad de la persona que inicialmente habría presentado una denuncia contra el ayuntamiento que habría dado lugar al fallo en cuestión. Sin embargo, se cita su nombre y apellidos hasta en dos ocasiones. Así, en primer lugar, se afirma expresamente: "el pasado 20 de mayo, el Ayuntamiento recibió la sentencia de la demanda interpuesta por A.A.A.". Y, en el párrafo siguiente, se añade: "Posteriormente, con fecha 13 de septiembre, el Ayuntamiento recibió otra sentencia relativa a la demanda interpuesta por la ***ASOCIACIÓN.1 en la que uno de los integrantes era A.A.A.".

Por último, en relación con la "anonimización por defecto" a la que hace referencia el Ayuntamiento, se insiste en que el objetivo del principio de minimización es asegurar que únicamente se traten los datos pertinentes en cada momento del ciclo de los datos personales, siendo la anonimización una alternativa a la supresión de los datos en los términos previstos en las Directrices 4/2019 relativas al artículo 25 Protección de datos desde el diseño y por defecto, que señalan:

"75. La minimización también puede referirse al grado de identificación. Si la finalidad del tratamiento no requiere que el conjunto final de datos se refiera a una persona física identificada o identificable (como en las estadísticas), pero el tratamiento inicial sí (por ejemplo, antes de la agregación de datos), el responsable del tratamiento suprimirá o anonimizará los datos personales tan pronto como la identificación deje de ser necesaria. O bien, si se requiere una identificación continua para otras actividades de tratamiento, los datos personales deberán ser seudonimizados a fin de mitigar los riesgos para los derechos de los interesados".

2. Respecto a las alegaciones relativas al principio de minimización sobre que se considera

Señala el AYUNTAMIENTO, que la identificación con nombre y apellidos de la parte reclamante en el comunicado por el que el AYUNTAMIENTO comparte un fallo judicial relativo a la retirada de una bandera del balcón municipal, "resulta la alternativa más eficaz y menos intrusiva para que la ciudadanía pueda entender con precisión el hecho y quién lo protagoniza". Lo anterior resulta llamativo precisamente en la medida en que el fallo judicial afecta al AYUNTAMIENTO y requiere una actuación por parte del AYUNTAMIENTO que es contra quien se han pronunciado los tribunales en relación con unos hechos, con independencia de quién presentara inicialmente la denuncia o demanda. Esta información resulta accesoria respecto a la información principal, el fallo, que es el objeto del comunicado, junto con las actuaciones a realizar por el ayuntamiento.

Por tanto, no cabe apreciar que la publicación del nombre y apellidos de la parte reclamante pueda ampararse en la alegada finalidad principal de informar a la ciudadanía con fines de transparencia o rendición de cuentas por parte del consistorio. Al contrario, en la medida en que los datos personales de quien interpuso la demanda se trata de información accesoria, parecería que el objetivo es destacar de manera innecesaria y reiterada la identidad del reclamante, personalizándolo en un contexto que podía haberse explicado sin referencia nominal alguna.

En consecuencia, la mención directa a su nombre carece de proporcionalidad en este contexto excediendo los límites de lo que sería un cumplimiento de las obligaciones de transparencia por parte del consistorio, al contrario, de la documentación obrante en el expediente se desprende que la entidad denunciada procedió a la publicación de datos personales de una persona física sin que dicha difusión resultara necesaria para la finalidad perseguida.

En definitiva, aunque el AYUNTAMIENTO alega que el tratamiento perseguía fines de transparencia en un contexto institucional, dicha justificación no resulta suficiente para eximirla de responsabilidad. La finalidad de transparencia podía alcanzarse sin la identificación del reclamante, por lo que la difusión de datos personales no era estrictamente necesaria. La divulgación del nombre y apellidos del reclamante generó un riesgo innecesario para los derechos y libertades del interesado, vulnerando el principio de minimización establecido en el art. 5.1.c) del RGPD.

Al respecto se subraya que las Directrices 4/2019 relativas al artículo 25 Protección de datos desde el diseño y por defecto establecen lo siguiente:

"74. En primer lugar, los responsables del tratamiento deben determinar si tienen siquiera necesidad de tratar datos personales para sus fines pertinentes. El responsable debe verificar si se pueden alcanzar los fines pertinentes tratando menos datos personales, o utilizando datos personales menos detallados o agregados, o sin tener que tratar datos personales en modo alguno"

Por otro lado, si bien esta Agencia valora positivamente la adopción de medidas correctoras, como la retirada del contenido en su página web con los datos del reclamante, dichas actuaciones no desvirtúan la existencia de la infracción constatada y por ello no eximen de responsabilidad por la infracción ya cometida ni eliminan los efectos derivados de la misma.

3. En lo relativo a las alegaciones relativas a la libertad de expresión contenido en el artículo 20 de la Constitución:

Defiende la parte reclamada que considera que, en el presente caso, operaría el derecho a la libertad de información del art. 20 de la CE y señala que, en este ámbito el TC no exige anonimización por defecto; pero sí exige justificación de necesidad del dato identificativo cuando integra el núcleo explicativo del hecho. Asegura que "en el presente caso el comunicado versa sobre un litigio contra el Ayuntamiento: afecta a la gestión pública y al interés cívico de los vecinos".

Tal y como se recogía en el acuerdo de inicio y en el presente documento, los derechos fundamentales no son absolutos, de manera que, cuando estos entran en conflicto, debe realizarse una ponderación de derechos para permitir el máximo ejercicio compatible de ambos.

Así, respecto a esta argumentación resulta plenamente aplicable la contestación a las alegaciones facilitada en el punto anterior: los datos personales de quien presentó en su día una demanda contra el Ayuntamiento no pueden considerarse "núcleo explicativo del hecho", en la medida en que resultan información accesoria, sin la que el resto del contenido del comunicado podría entenderse y valorarse.

4. En relación con la alegación relativa a la ausencia del principio de culpabilidad, así como el principio de presunción de inocencia por no haber "demostrado" la AEPD la existencia del elemento subjetivo de la responsabilidad, conviene realizar una serie de precisiones:

El principio de responsabilidad previsto en el artículo 28.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispone que: "Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa."

A tal efecto, la Sentencia del Tribunal de Justicia de la Unión Europea, de 5 de diciembre de 2023, recaída en el asunto C-807/21 (Deutsche Wohnen), indica:

"76. A este respecto, debe precisarse además, por lo que atañe a la cuestión de si una infracción se ha cometido de forma intencionada o negligente y, por ello, puede sancionarse con una multa administrativa con arreglo al artículo 83 del RGPD, que un responsable del tratamiento puede ser sancionado por un comportamiento comprendido en el ámbito de aplicación del RGPD cuando no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de infringir las disposiciones del RGPD (véanse, por analogía, las sentencias de 18 de junio de 2013, Schenker & Co. y otros, C 681/11, EU:C:2013:404, apartado 37 y jurisprudencia citada; de 25 de marzo de 2021, Lundbeck/Comisión, C 591/16 P, EU:C:2021:243, apartado 156, y de 25 de marzo de 2021, Arrow Group y Arrow Generics/Comisión, C 601/16 P, EU:C:2021:244, apartado 97)."

En esta misma línea se expresan los órganos jurisdiccionales de nuestro país.

De este modo, el Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección 5ª) en Sentencia num. 179/2023, de 15 de febrero 2023 establece: Sentencia (STS 354/2023)

"(…) debemos comenzar por recordar que la culpabilidad constituye, en efecto, una exigencia de las infracciones administrativas, ínsito en el artículo 25 de la Constitución, que ha tenido una elaborada construcción doctrinal en el ámbito del Derecho Penal del que el Administrativo Sancionador es tributario. Dicha exigencia comporta, en apretada síntesis a los efectos del debate suscitado, que el hecho que se tipifica en el tipo de la infracción pueda y debe serle imputable al sujeto que se sanciona, al que se considera culpable del mismo, es decir, responsable, conforme a la terminología de la Ley de Procedimiento Administrativo Común de las Administraciones Públicas. Esa imputación comporta un elemento intelectual conforme al cual la acción típica no solo se ejecuta por el propio sujeto, sino que se hace a conciencia y voluntad, es decir, de manera intencional, o bien por una negligencia más o menos intensa, en cuanto se ha omitido la diligencia que sería exigible en la ejecución del acto para evitar el efecto pernicioso."

A su vez, la Sentencia de la Audiencia Nacional, de 21 de enero de 2010, expone:

"La recurrente también mantiene que no concurre culpabilidad alguna en su actuación. Es cierto que el principio de culpabilidad impide la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, también es cierto, que la ausencia de intencionalidad resulta secundaria ya que este tipo de infracciones normalmente se cometen por una actuación culposa o negligente, lo que es suficiente para integrar el elemento subjetivo de la culpa. La actuación de XXX es claramente negligente pues… debe conocer… las obligaciones que impone la LOPD a todos aquellos que manejan datos personales de terceros. XXX viene obligada a garantizar el derecho fundamental a la protección de datos personales de sus clientes e hipotéticos clientes con la intensidad que requiere el contenido del propio derecho".

Además, conviene destacar que el modo de atribución de responsabilidad a las personas jurídicas no se corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la conducta humana. De modo que, en el caso de infracciones cometidas por personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se aplica necesariamente de forma distinta a como se hace respecto de las personas físicas.

Según la STC 246/1991 "(...) esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos.

Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma" (en este sentido STS de 24 de noviembre de 2011, Rec 258/2009).

En el presente caso, el propio AYUNTAMIENTO reconoce los hechos en cuestión, esto es la publicación realizada, que constan, por otra parte, en el expediente. Es más, en sus alegaciones, asegura que se realizaron en parte amparadas por su derecho a la libertad de información contenido en el artículo 20 de la Constitución Española, lo que, implicaría, en definitiva, que tales actuaciones se realizaron buscando alcanzar al mayor número posible de personas. En estos términos se recoge en la la SAN de 27 de junio de 2024, rec. 102/2022:

"(…) Además, tenemos que añadir que el recurrente alegó en vía administrativa que la publicación del vídeo lo hizo al amparo de su derecho a la libertad de información conforme al art. 20 de la Constitución, evidenciando que trataba de difundir una información al mayor número de personas posible (…)".

Así las cosas, ninguna de las circunstancias concurrentes en el caso en cuestión permite excluir la existencia de culpabilidad, pues en el mejor de los casos, la actuación del AYUNTAMIENTO resultó negligente y mostraría un desconocimiento de sus obligaciones en materia de protección de datos.

Por otro lado, en relación con las manifestaciones referidas a la presunción de inocencia hay que tener en cuenta que para que pueda apreciarse la existencia de indefensión no resulta suficiente que se haya producido una infracción formal, sino que ha de haberse producido una indefensión de carácter material

En este sentido, en palabras del TC, STC 290/1993, fundamento jurídico 4 " Para que pueda estimarse una indefensión con relevancia constitucional, que sitúa al interesado al margen de toda posibilidad de alegar y defender en el proceso sus derechos, no basta con una vulneración meramente formal, siendo necesario que de esa infracción formal se derive un efecto material de indefensión, un efectivo y real menoscabo del derecho de defensa (STC 149/1998, fundamento jurídico 3º), con el consiguiente perjuicio real y efectivo para los interesados afectados (SSTC 155/1988, fundamento jurídico 4º, y 112/1989, fundamento jurídico 2º)"

En definitiva, para que se quebrante la prohibición de indefensión es necesario que exista, en efecto, una situación de indefensión, lo que no ha ocurrido en este caso, pues en el presente supuesto ha quedado acreditado que el AYUNTAMIENTO realizó las publicaciones y difusiones en cuestión de los nombres y apellidos de su titular, sin que dicho elemento resultara necesario para alcanzar el fin de información pública que aseguraba perseguir.

5. En cuanto a las alegaciones referidas a la proporcionalidad y los criterios de graduación de una multa administrativa.

Parte el Ayuntamiento de determinados errores de concepto en sus alegaciones que conviene aclarar.

En primer lugar, y en relación con las afirmaciones relativas a la aplicación de los criterios de graduación del artículo 29 de la LRJSP. El artículo 63.2 de la LOPDGDD prevé lo siguiente: "los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos". El RGPD establece su propio sistema sancionador y de determinación de la cuantía de la multa en el artículo 83, sin perjuicio de que prevea la aplicación subsidiaria de los principios básicos del derecho sancionador. Por tanto, de acuerdo con el principio de especialidad normativa (lex specialis derogat legi generali), es de aplicación preferente la ley especial (esto es, lo contenido en el RGPD y en la LOPDGDD) sobre la ley general, que tendrá aplicación subsidiaria.

En segundo lugar, tal y como señala el artículo 83.1 del RGPD, las circunstancias previstas en el artículo 83.2 del RGPD a las que hace referencia el AYUNTAMIENTO son de aplicación para la determinación de la cuantía de una multa administrativa. Ahora bien, el artículo 83.7 del RGPD prevé la posibilidad de que cada Estado miembro pueda excluir de la imposición de multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro. En desarrollo de esta opción se crea el artículo 77 de la LOPDGDD que establece "el régimen aplicable a determinadas categorías de responsables o encargados". En estos supuestos, se sustituye la imposición de una multa en el caso de un procedimiento sancionador, por la declaración de la infracción y su comunicación al Defensor del Pueblo. En la medida en que el Ayuntamiento forma parte de las autoridades contenidas en el mencionado artículo 77 del RGPD, le es de aplicación lo previsto relativo a la declaración de la infracción y no procede (en tanto que no lo permite nuestro ordenamiento jurídico) la imposición de una multa, con la correspondiente graduación de la misma atendiendo a las circunstancias del artículo 83.2 del RGPD.

Estas previsiones eran las contenidas en el acuerdo de inicio.

6. En lo referente a las alegaciones relativas a que procede la aplicación de un apercibimiento, porque así se deduce del artículo 77 de la LOPDGDD:

Se subraya que no debe confundirse el régimen especial previsto en el artículo 77 de la LOPDGDD, en relación con el artículo 83.7 del RGPD, con un apercibimiento.

Tal y como se ha señalado, el artículo 77 prevé un régimen especial para determinados sujetos, consistente en la declaración de la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese o se corrijan los efectos de la infracción cometida, con excepción de la multa contenida en el artículo 58.2 i) del RGPD.

Por su parte el apercibimiento es otro de los poderes correctivos previstos en el artículo 58 del RGPD, que se rige por su propio procedimiento y que no ha de confundirse con un procedimiento sancionador.

Esto significa que, si bien el apercibimiento es compatible con la redacción del artículo 77 de la LOPDGDD, no es la opción preferente o exclusiva a la que este artículo hace referencia ni debe confundirse con la declaración de la infracción que el artículo 77 de la LOPDGDD implica.

Ahora bien, corresponde a la autoridad de control decidir, en el ejercicio de sus competencias, sobre el despliegue de sus poderes correctivos atribuidos por el artículo 58 del RGPD. En este sentido, La STJUE de 24 de septiembre de 2024, en el asunto C-768/2021, determina que:

"37 A este respecto, ha de señalarse que el RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada, puesto que el artículo 58, apartado 2, del mismo confiere a dicha autoridad la facultad de adoptar diversas medidas correctoras. Así, el Tribunal de Justicia ya ha declarado que la elección del medio adecuado y necesario corresponde a la autoridad de control, que debe realizar tal elección tomando en consideración todas las circunstancias del caso concreto y cumpliendo con toda la diligencia requerida su misión consistente en velar por el pleno respeto del RGPD (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 112).

38 Sin embargo, este margen de apreciación está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas, como se desprende de los considerandos 7 y 10 del RGPD"

En el presente caso, aun cuando la resolución que se dicte en aplicación del artículo 77 de la LOPDGDD será "la declaración de una infracción", se considera que atendiendo a las circunstancias de caso y, en particular a los principios de proporcionalidad y eficacia, así como en aras a asegurar la disuasión de futuras infracciones por parte del AYUNTAMIENTO, así como el respeto al principio de responsabilidad proactiva contenida en el artículo 5.2 del RGPD, justifica la apertura de un procedimiento sancionador. Se hace hincapié, en este sentido, en que la publicación del comunicado se realizó, por parte del AYUNTAMIENTO, tanto en la página web de ayuntamiento como en una red social. Lo anterior, supone, de facto, al realizarse en redes sociales en abierto, una mayor pérdida del control que el titular de los datos ejerce sobre los mismos.

No obstante, esta Agencia ha tenido en cuenta la retirada del comunicado en la página web de Ayuntamiento objeto del presente procedimiento motivo por el cual no se propone la adopción de medidas correctivas adicionales contra el responsable, más allá de la declaración de infracción que se formula en la presente resolución.

Por lo tanto, de conformidad con todo lo expuesto, procede desestimar las presentes alegaciones solicitando el archivo de las actuaciones y el apercibimiento.

IV Obligación incumplida. Minimización de datos

La letra c) del artículo 5.1 del RGPD propugna:

"1. Los datos personales serán:

(…)

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);"

Cabe traer a colación las consideraciones acerca del principio de minimización de datos realizadas por el Comité Europeo de Protección de Datos (CEPD) en las Directrices 4/2019, "relativas al artículo 25, Protección de datos desde el diseño y por defecto", versión 2.0, de fecha 20/10/2020, adoptadas en cumplimiento de la función que el artículo 70 del RGPD le encomienda de garantizar su aplicación coherente.

En el apartado 74 de dichas directrices se establece que:

"En primer lugar, los responsables del tratamiento deben determinar si tienen siquiera necesidad de tratar datos personales para sus fines pertinentes. El responsable debe verificar si se pueden alcanzar los fines pertinentes tratando menos datos personales, o utilizando datos personales menos detallados o agregados, o sin tener que tratar datos personales en modo alguno. Dicha verificación debe tener lugar antes de cualquier tratamiento, pero también puede llevarse a cabo en cualquier momento durante el ciclo de tratamiento."

Y en su apartado 76, estas Directrices 4/2019 indican que pueden ser "Elementos esenciales desde el diseño y por defecto con respecto a la minimización de datos" entre otros, los siguientes:

Evitación de datos: Se evitará todo tratamiento de datos personales cuando ello sea posible para cumplir la finalidad pertinente.

Limitación: Se limitará la cantidad de datos personales recogidos a lo estrictamente necesario para el fin previsto.

Limitación de acceso: Se configurará el tratamiento de datos de manera que se minimice el número de personas que necesiten acceder a datos personales para desempeñar sus funciones, y se limitará el acceso en consecuencia.

Pertinencia: Los datos personales deben ser pertinentes para el tratamiento en cuestión, y el responsable del tratamiento deberá poder acreditar dicha pertinencia.

Necesidad: Cada categoría de datos personales será necesaria para los fines especificados y solo deberá ser objeto de tratamiento si no es posible cumplir la finalidad por otros medios."

En el presente caso, el AYUNTAMIENTO ha procedido a publicar en su web oficial y en su perfil en la red social Facebook un Comunicado oficial sin haber procedido a omitir los datos personales del reclamante, y junto a estos datos personales se ha procedido a publicar el conflicto judicial que mantiene el reclamante con el AYUNTAMIENTO recogiéndose lo siguiente:

"El pasado 20 de mayo, el Ayuntamiento recibió la sentencia de la demanda interpuesta por A.A.A., (…) …Posteriormente, con fecha 13 de septiembre, el Ayuntamiento recibió otra sentencia sobre la demanda interpuesta por la ***ASOCIACIÓN.1, en la que uno de los integrantes era A.A.A.."

De este modo, se está publicando junto a su nombre y apellidos el resultado de un proceso judicial, y que está incurso indirectamente en otro por el hecho de formar parte de la ***ASOCIACIÓN.1 (que ha impulsado un segundo proceso judicial sobre los mismos hechos), así como las causas que han motivado dicha situación.

El Ayuntamiento pone de manifiesto que la publicación de dicho comunicado oficial se produjo sobre la base de que el Ayuntamiento actuó ejercitando sus competencias dentro del marco de lo previsto en el artículo 6 del RGPD, sin que se hayan revelado datos personales más allá de lo estrictamente necesario para el ejercicio de dichas competencias.

Además, entiende que, en el caso que nos ocupa, el tratamiento de los datos del reclamante no supone una vulneración sustancial de dicha normativa.

Por otro lado, manifiesta que las causas que han motivado la incidencia han sido la necesidad de informar a sus ciudadanos del resultado judicial iniciado por el reclamante y cumplir con las obligaciones de transparencia activa a la que está obligado el Ayuntamiento.

El cumplimiento de este principio precisa como premisa de una evaluación del cumplimiento de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad, teniendo en cuenta si los fines perseguidos pueden alcanzarse o no de manera menos intrusiva, así como los riesgos para la protección de los derechos y libertades fundamentales de las personas. El artículo 5.1.c) del RGPD se relaciona con el considerando 39 del RGPD, que señala que "(…) los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios".

Como se deduce del citado considerando, este requisito de la necesidad no se cumple cuando el objetivo perseguido puede alcanzarse razonablemente de manera tan eficaz por otros medios con menos riesgo en relación con los derechos y libertades de los interesados, en particular los derechos al respeto de la vida privada y a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, puesto que las excepciones y restricciones al derecho de protección de dichos datos personales deben establecerse sin sobrepasar los límites de lo estrictamente necesario (véase, en este sentido, la sentencia de 11 de diciembre de 2019, Asociația de Proprietari bloc M5A-ScaraA, C708/18, EU:C:2019:1064, apartados 46 y 47).

A este respecto, no se pone en entredicho la necesidad de publicar aquellas noticias que puedan considerarse de interés para los ciudadanos de Ajalvir, en virtud de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (en adelante LTAIBG), pero si deben tenerse en cuenta las obligaciones que establece esta Ley, así como la LOPDGDD que, en su disposición Adicional Segunda, relativa a la "protección de datos y transparencia y accesos a la información pública" establece que "La publicidad activa y el acceso a la información pública regulados en el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679, y en la presente ley orgánica.". Asimismo, debe atenderse a lo dispuesto en el apartado 3 del artículo 15 de la Ley 19/2013, conforme al cual, incluso cuando la información solicitada no contenga datos especialmente protegidos, el órgano competente deberá realizar, en todo caso, una ponderación suficientemente razonada entre el interés público en la divulgación de la información y los derechos de las personas afectadas, en particular su derecho fundamental a la protección de datos de carácter personal. En consecuencia, dicha ponderación constituye un requisito ineludible para conceder el acceso. Aquí debe concluirse, en virtud de lo que establece el propio artículo 15 de la Ley 19/2013, que llama a una ponderación entre derechos transparencia y protección de datos cuando se publica información con la finalidad de transparencia en la actuación pública que contenga datos de carácter personal, que no resulta justificado identificar quien inició en origen un procedimiento judicial, en tanto que dicha información no aporta un valor añadido al interés público que se persigue con la divulgación. De hecho, para dar a conocer la noticia, lo verdaderamente determinante es el contenido del fallo de la sentencia, sin que el conocimiento de la identidad del demandante incida de forma relevante en dicho interés general.

Si bien es cierto que el derecho fundamental a la protección de datos personales no es absoluto, puesto que, llegado el caso, puede ceder ante la prevalencia de otros derechos y libertades también constitucionalmente reconocidos y protegidos, como, por ejemplo, el derecho fundamental a la libertad de expresión, ello debe ponderarse caso a caso.

Dicho lo anterior, el derecho fundamental a la libertad de expresión tampoco es absoluto. Podemos observar límites clarísimos establecidos por los tribunales en el ámbito civil, en relación con el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Así, citaremos, la STS 50/2017, Sala Primera de lo Civil, de 27 de enero de 2017 (recurso 2139/2015) que indica:

"En este sentido, es jurisprudencia reiterada (véase entre las más recientes, y a modo de síntesis doctrinal, la sentencia 605/2015, de 3 de noviembre ) que la prevalencia en abstracto de las libertades de expresión e información «solo puede revertirse en el caso concreto atendiendo al peso relativo del honor y de la intimidad según las concretas circunstancias concurrentes, siempre que las informaciones y opiniones que se divulguen se refieran a asuntos de interés general o relevancia pública (por las personas o por la materia), que se prescinda en su comunicación del uso o empleo innecesario de expresiones inequívocamente ofensivas o vejatorias y, en el caso de la libertad de información, siempre que sean veraces, precisándose en todo caso que en el ámbito de protección del derecho a la intimidad el criterio para determinar la legitimidad o ilegitimidad de las intromisiones no es el de la veracidad sino el de la relevancia pública del hecho divulgado, es decir, que su comunicación a la opinión pública, aun siendo verdadera, resulte necesaria en función de interés público del asunto sobre el que se informa " (el subrayado es nuestro).

No se trata de dotar de prevalencia a un derecho fundamental sobre otro sino de encontrar un equilibrio que permita la conciliación de ambos derechos; una conciliación a la que se refiere el propio legislador europeo en el artículo 85 del RGPD. Y uno de los elementos a tener en consideración es, precisamente, si citar el nombre y apellidos del reclamante es o no necesario para alcanzar la finalidad perseguida.

En este punto, ha de traerse a colación la jurisprudencia que analiza la relación entre la libertad de expresión, por un lado, y el derecho de los afectados por contenidos de carácter informativo.

Así, el Tribunal Europeo de Derechos Humanos (TEDH), en su sentencia de 19 de junio 2012, dictada en el recurso 1593/2006, señala lo siguiente:

"Aunque la prensa no debe sobrepasar ciertos límites, en particular en lo que se refiere a la reputación y los derechos de los demás o a la buena administración de la justicia, su deber es, no obstante, impartir, de manera coherente con sus obligaciones y responsabilidades, información e ideas sobre todos los asuntos de interés público (apartado 48)

(…),la publicación de fotografías y artículos cuyo único propósito es satisfacer la curiosidad de un lector particular con respecto a los detalles de la vida privada de una figura pública no puede considerarse que contribuya a cualquier debate de interés general para la sociedad a pesar de que la persona sea conocida por el público. En tales condiciones, la libertad de expresión exige una interpretación más estricta (…). (apartado 50) (el subrayado es nuestro)

(…) Al verificar si las autoridades han logrado un equilibrio justo entre dos valores protegidos garantizados por el Convenio que pueden entrar en conflicto entre sí en este tipo de casos -la libertad de expresión protegida por el artículo 10 y el derecho al respeto de la vida privada consagrado en el artículo 8-, el Tribunal de Justicia debe equilibrar el interés público en la publicación de la información y la necesidad de proteger la vida privada (véase Hachette Filipacchi Associés c. Francia, n.º 71111/01, § 43, CEDH 2007- VII).(Apartado 51)

Y concluye que, al no ser las partes afectadas por la noticia figuras públicas, "no puede considerarse que la divulgación de su identidad fuera esencial para comprender los detalles del caso (apartado 57)" así como que, "no cabe duda de que la preservación de la esfera más íntima de la vida de un menor que se había convertido en víctima de una disputa de custodia y no había entrado en la esfera pública merecía una protección particular debido a su posición vulnerable. (apartado 59)" (el subrayado es nuestro).

Así, no se trata, como en otros supuestos jurisprudencialmente examinados, de dotar de prevalencia a un derecho fundamental sobre otro, debiendo elegir cuál tiene más peso en un supuesto específico sino, más bien, de encontrar un equilibrio entre ambos para logar la consecución de la finalidad del primero sin desvirtuar el segundo. La conciliación de estos tres derechos no es nada nuevo, puesto que el legislador europeo la prevé en el considerando 153 del RGPD y desarrolla en su artículo 85.

Como hemos visto anteriormente, el derecho fundamental a la libertad de expresión no es ilimitado, puesto que la interpretación jurisprudencial al confrontarlo con otros derechos y libertades no los permite en todo caso y con toda amplitud, sino que, no obstante, su ejercicio ha de equilibrarse con la protección de otros derechos, en este caso, el derecho fundamental a la protección de datos personales, que han de ser de igual forma protegidos.

A mayores, hemos de significar que el reclamante es una persona anónima y nuestro Tribunal Constitucional, por todas STC 58/2018 de 4/06, afirma que las autoridades públicas, los funcionarios públicos y los personajes públicos o dedicados a actividades que conllevan notoriedad pública "aceptan voluntariamente el riesgo de que sus derechos subjetivos de personalidad resulten afectados por críticas, opiniones o revelaciones adversas y, por tanto, el derecho de información alcanza, en relación con ellos, su máximo nivel de eficacia legitimadora, en cuanto que su vida y conducta moral participan del interés general con una mayor intensidad que la de aquellas personas privadas que, sin vocación de proyección pública, se ven circunstancialmente involucradas en asuntos de trascendencia pública, a las cuales hay que, por consiguiente, reconocer un ámbito superior de privacidad, que impide conceder trascendencia general a hechos o conductas que la tendrían de ser referidos a personajes públicos".

La STJUE (Sala Segunda) de 14/02/2019, en el asunto C 345/17, Sergejs Buivids hace mención a diversos criterios para ponderar entre el derecho al respeto de la intimidad y el derecho a la libertad de expresión, entre los cuales se encuentran "la contribución a un debate de interés general, la notoriedad de la persona afectada, el objeto del reportaje, el comportamiento anterior del interesado, el contenido, la forma y las repercusiones de la publicación, la forma y las circunstancias en las que se obtuvo información y su veracidad (véase, en este sentido, la sentencia del TEDH de 27 de junio de 2017, Satakunnan Markkinapφrssi Oy y Satamedia Oy c. Finlandia, CE:ECHR:2017:0627JUD000093113, apartado 165)".

De tal forma que, para que un asunto sea considerado de interés general, de relevancia pública, lo será no sólo por la persona que intervenga, sino también por la materia a la que se refiere. Deben concurrir ambos requisitos, resultando, a mayor abundamiento de lo significado en el apartado anterior, que en el supuesto examinado el reclamante no es una persona pública. En el presente caso, (i) ni estamos ante un personaje de relevancia pública, en el sentido de que tal relevancia sea suficiente para entender que supone, ex lege, una desposesión de su derecho fundamental a la protección de sus datos personales, y (ii) si bien se trata de hechos "de relevancia pública", en el sentido de que se revelen como "necesarios" para la exposición de las ideas u opiniones de interés público, esa necesidad no alcanza que se faciliten datos personales que identifiquen al reclamante parte del conflicto judicial contra el Ayuntamiento. La divulgación de su identidad no constituye un elemento esencial para comprender los detalles del caso.

En el presente caso, debe considerarse que el tratamiento de datos realizado por el Ayuntamiento vulnera el derecho del reclamante a la protección de sus datos personales, al resultar desproporcionado y no necesario para la finalidad perseguida, que es informar sobre el resultado de un proceso judicial.

A mayor abundamiento, no puede considerarse justificado el uso de los datos personales del reclamante, en particular la mención de su nombre y apellidos, ya que dicha información no aporta valor añadido a la noticia ni responde a un interés público legítimo.

El interés público en el acceso a la información no es ilimitado, encontrando un límite precisamente en la garantía de los derechos de los interesados cuyos datos personales pueden verse afectados.

Por tanto, se concluye que los hechos son constitutivos de una infracción del artículo 5.1 RGPD al haber tratado datos personales que eran excesivos e innecesarios para la finalidad para la que se trataban.

V Tipificación de la infracción del artículo 5.1.c) del RGPD y calificación a efectos de prescripción

El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración del artículo siguiente, que se sancionará, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

"a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;"

Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:

"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".

A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDD establece lo siguiente:

"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679."

VI Declaración de infracción

El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD, en su apartado 7, establece:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."

El artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica."

Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción.

Por consiguiente, toda vez que el responsable del tratamiento tiene la consideración de entidad local y, por tanto, se encuentra encuadrada en el apartado c) del artículo 77.1. de la LOPDGDD, la resolución sancionadora declara la infracción del artículo 5.1 c) del RGPD.

Por lo tanto, de acuerdo con la legislación aplicable, la Presidencia de la Agencia Española de Protección de Datos