AEPD 05/10/2021
Se presentó reclamación contra un ayuntamiento por instalar en vehículos policías dispositivos de localización sin informar previamente a los trabajadores
La AEPD le impone una sanción de apercibimiento. Sin embargo, no requiere que adopte ninguna medida adicional, ya que el ayuntamiento ha actualizado sus protocolos en materia de protección de datos.
PRIMERO: A.A.A (en adelante, el reclamante) con fecha 10 de marzo de 2021 interpuso reclamación ante la Agencia Española de Protección de Datos.
La reclamación se dirige contra AYUNTAMIENTO DE SIERO con NIF P3306600B (en adelante, el reclamado).
El reclamante, ***PUESTO.1 del Ayuntamiento de Siero basa su reclamación en que el consistorio ha instalado en los vehículos policiales dispositivos de localización sin informar previamente a los trabajadores.
Indica que el ayuntamiento les informó de la utilización de los dispositivos de geolocalización un año después de su instalación.
A su vez, manifiesta que a los trabajadores no se les ha facilitado la información acerca de la existencia y características de estos dispositivos ni la relativa al posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), con número de referencia E/04121/2021, se dio traslado de dicha reclamación al reclamado el 16 de abril de 2021, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
El 14 de mayo de 2021, en respuesta al requerimiento de esta Agencia se alega por el reclamado lo siguiente:
El Ayuntamiento de Siero tenía constancia de una reclamación en similares términos que había sido realizada por un sindicato policial.
La Delegada de Protección de Datos del reclamado propone una serie de actuaciones para revisar, mejorar y adecuar el tratamiento a la normativa vigente.
Las actuaciones que propone se elevan al Comité de Seguridad de la Información de Siero.
El Comité se reúne el 16 de abril de 2021, abordándose de forma global el tratamiento, tanto desde un punto de vista de adecuación jurídica, donde se da cuenta de las propuestas que había presentado como Delegada de Protección de Datos, como desde un punto de vista técnico abordando los problemas existentes en el acceso a la aplicación de visionado de la localización de los vehículos que es comentada por el Responsable de Seguridad del Ayuntamiento.
En el Acta se detalla la necesidad de:
Primero: Se precisa la revisión y adaptación del Registro de Actividades del Tratamiento del Ayuntamiento ya que, tras su examen, el tratamiento para la geolocalización de los vehículos municipales no se encuentra registrado.
Segundo: Realización de una Evaluación de Impacto.
Tercero: Revisión de la relación con el adjudicatario del contrato con la firma del contrato de encargado del tratamiento de conformidad con el artículo 28 del RGPD
Cuarto: Identificación de las personas afectadas por el tratamiento remitiéndoles una nueva información pormenorizada del tratamiento en los términos del artículo 13 del RGPD y del artículo 90.2 de la LOPDGDD.
Quinto: Revisión de las medidas de seguridad en el control de acceso a los sistemas de seguimiento, adaptándolos a los procedimientos del ENS (según Disposición Adicional Primera de la LOPDGDD), evitando los usuarios genéricos. Los usuarios a los sistemas deben ser nominativos (identificando al usuario mediante un código), pero no genéricos, adoptando las medidas de diligencia debida en el control de las credenciales por cada usuario.
Sexto: Elaboración por parte del Comité de un cronograma de actuaciones y posible respuesta al sindicato reclamante...
El Comité, tras analizar la documentación y a propuesta de esta Delegada, aprueba elevar a los sindicatos la información sobre la geolocalización de los vehículos municipales, con carácter previo a la comunicación a los trabajadores, para que puedan realizar las aportaciones que crean oportunas.
En cumplimiento de esta decisión, se elabora un escrito para los representantes sindicales que se remite desde el Departamento de Recursos Humanos del Ayuntamiento de Siero con fecha 11 de mayo de 2021. Además, con fecha 11 de mayo 2020 tras la revisión y mejora del contrato de encargado del tratamiento se rubrica por ambas partes.
Actualmente, el Ayuntamiento continúa trabajando en la mejora continua de los tratamientos de datos personales, en los próximos días se analizarán las conclusiones definitivas de la Evaluación de Impacto, para adoptar las medidas, se aprobará y publicará el Registro de Actividades del Tratamiento y se remitirá nueva información a los trabajadores, una vez completada la fase de información previa a los representantes sindicales.
TERCERO: Con fecha 19 de julio de 2021, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 del RGPD.
CUARTO: Con fecha 2 de agosto de 2021 el reclamado aporta el siguiente enlace, para acreditar que ha procedido a subsanar las causas que generan la presente reclamación:
https://www.ayto-siero.es/index.asp?MP=2&MS=318&MN=3#informacion <https://www.ayto-siero.es/index.asp?MP=2&MS=318&MN=3>
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS
PRIMERO: El consistorio ha instalado en los vehículos policiales dispositivos de geolocalización sin informar a los trabajadores de ello hasta un año después.
SEGUNDO: El reclamado el 2 de agosto de 2021, ha comunicado a esta Agencia que ha procedido a adoptar medidas para mejorar el tratamiento de datos de carácter personal, y lo ha constatado remitiendo el siguiente enlace:
https://www.ayto-siero.es/index.asp?MP=2&MS=318&MN=3#informacion <https://www.ayto-siero.es/index.asp?MP=2&MS=318&MN=3> En dicho enlace se indica lo siguiente:
"El Ayuntamiento de Siero trata los datos personales recogidos a través de su portal de internet, www.ayto-siero.es <http://www.ayto-siero.es>, como responsable del tratamiento, según lo establecido en el Reglamento (UE) 2016/679 - Reglamento General de Protección de Datos (RGPD) - y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y demás normativa en materia de protección de datos que sea de aplicación, al objeto de garantizar en todo momento el derecho fundamental a la protección de datos de las personas usuarias del mismo.
Mediante la lectura de la presente Política de Privacidad, la persona usuaria queda informada sobre la forma en que Ayuntamiento de Siero trata y protege los datos personales que son recabados a través de este portal de internet, así como aquellos otros que sean registrados en la sede electrónica municipal.
La persona usuaria debe leer con atención esta Política de Privacidad que ha sido redactada de forma clara y sencilla con el objetivo de facilitar su compresión, pudiendo así determinar libre y voluntariamente si desea facilitar sus datos personales a Ayuntamiento de Siero, a través de los distintos medios habilitados para ello.
Esta Política de Privacidad podrá ser actualizada por el Ayuntamiento de Siero cuando se realicen nuevos tratamientos de sus datos personales o existiesen modificaciones legislativas, en su caso.
La presente Política de Privacidad tiene por objeto facilitar información sobre los derechos que le asisten en virtud del RGPD, sin perjuicio de aquella otra información de carácter que se pone a disposición de los interesados en los distintos formularios del Ayuntamiento de Siero.
El Ayuntamiento de Siero ha designado a un Delegado de Protección de Datos Personales pudiendo ponerse en contacto pinchando aquí o en la sede electrónica en sedeelectronica.ayto-siero.es -o dirección de correo postal Plaza del Ayuntamiento s/n CP: 33510. Pola de Siero, Siero, Asturias (España) para aclarar cualquier duda relativa al tratamiento de sus datos personales o ampliar la información."
Seguidamente, se amplía esta información de conformidad con la normativa de protección de datos, en relación a:
· Responsable del tratamiento.
· Datos personales.
· Limitaciones en el tratamiento.
· Información en la recogida de datos.
· Registro de actividades de tratamiento.
· Medidas de seguridad.
· Derechos.
I
En virtud de los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos, en adelante RGPD) reconoce a cada autoridad de control, y según lo establecido en los artículos 47, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), la Directora de la Agencia Española de Protección de Datos es competente para iniciar este procedimiento.
El artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
El artículo 4 del el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos, en adelante RGPD), bajo la rúbrica "Definiciones", dispone que:
"A efectos del presente Reglamento se entenderá por:
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;"
III
El artículo 13 del RGPD, precepto en el que se determina la información que debe facilitarse al interesado en el momento de la recogida de sus datos, dispone:
"1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información".
Por su parte, el artículo 11 de la LOPDGDD, dispone lo siguiente:
"1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679."
IV
En virtud de lo establecido en el artículo 58.2 del RGPD, la Agencia Española de Protección de Datos, en cuanto autoridad de control, dispone de un conjunto de poderes correctivos en el caso de que concurra una infracción a los preceptos del RGPD.
El artículo 58.2 del RGPD dispone lo siguiente:
"2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
(...)
b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;"
(...)
"d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;"
"i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;"
El artículo 83.5.b) del RGPD establece que:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los derechos de los interesados a tenor de los artículos 12 a 22;"
A su vez, el artículo 74.a) de la LOPDGDD, bajo la rúbrica "Infracciones consideradas leves dispone:
"Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho
de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679."
V
En este supuesto, se ha constatado que el reclamado ha instalado en los vehículos policiales dispositivos de geolocalización sin informar previamente a los trabajadores; hecho en el que se concreta la reclamación, y que ha servido para que el reclamado adecue todos los tratamientos a la normativa de protección de datos, actualizando el RAT (Remote Administration Tool) y estudiando si es necesaria una Evaluación de Impacto y su realización, actualizando contratos de prestación de servicios y facilitando información completa a los afectados por el tratamiento de sus datos.
Así las cosas, los hechos expuestos constituyen, una infracción a lo dispuesto en el artículo 13 del RGPD, indicado en el fundamento de derecho III.
Sin embargo, el 2 de agosto de 2021 el reclamado ha procedido a la actualización de su política de privacidad.
Pese a ello, señalar que se sigue manteniendo la sanción de apercibimiento por los datos personales que fueron recabados sin informar adecuadamente a sus trabajadores, lo cual es constitutivo de una infracción del artículo 13 del RGPD.
No obstante, será una sanción de apercibimiento sin necesidad de adoptar medidas por parte del reclamado, pues ya se ha procedido a su actualización.
A la vista de lo expuesto la Directora de la Agencia Española de Protección de Datos
PRIMERO: DIRIGIR al AYUNTAMIENTO DE SIERO, con NIF P3306600B, por una infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 del RGPD, un apercibimiento.
SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE SIERO.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.