Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 13/12/2024
Un trabajador municipal presenta reclamación ante la AEPD contra su ayuntamiento afirmando que se está haciendo un uso incorrecto del programa informático de gestión de la Policía Local, denominado EUROCOP, el cual permite el acceso a datos de la DGT, atestados policiales y VIOGEN, encargándose su administración a una auxiliar administrativa ajena al cuerpo policial, quien ha facilitado a varios agentes la app de dicho programa para teléfonos móviles particulares.
El ayuntamiento informa que el sistema EUROCOP se emplea únicamente para cuestiones administrativas y registro de llamadas ciudadanas para servicios policiales. El acceso a datos de la DGT lo realizan solo los funcionarios de la Policía Local desde los dispositivos informáticos del ayuntamiento y con credenciales específicas. En referencia a los datos padronales, solo algunos funcionarios concretos tienen acceso, mientras que el sistema VIOGEN es accedido por dos agentes designados con credenciales del Cuerpo Nacional de Policía. Además, todos los administradores del sistema EUROCOP han firmado acuerdos de confidencialidad sobre la información y datos tratados por el ayuntamiento.
Por todo ello, la AEPD no encuentra evidencias que acrediten la existencia de infracción en su ámbito competencial, por lo que procede al archivo de las actuaciones.
Número de documento: EXP202309500
Fecha de documento: 13/12/2024
Sectorial: Administración Pública y defensa; Seguridad Social obligatoria
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y teniendo como base los siguientes,
PRIMERO: Con fecha 25/06/2023 se presentó reclamación ante la Agencia Española de Protección de Datos contra el AYUNTAMIENTO DE SIERO con NIF P*********. Los motivos en que se basa la reclamación son los siguientes:
Un trabajador del Ayuntamiento expone que se está haciendo un uso incorrecto del programa informático de gestión de la Policía Local, denominado EUROCOP, el cual permite el acceso a datos de la DGT, Atestados Policiales y VIOGEN, encargándose su administración a una auxiliar administrativa ajena al Cuerpo Policial, quien ha facilitado a varios Agentes, la App de dicho programa para teléfonos móviles particulares.
Junto a la reclamación no se aporta ningún documento.
SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos, en virtud de las funciones asignadas a las Autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos:
1.- Realizado requerimiento de información al referido Ayuntamiento sobre los hechos denunciados, con fecha de 23 de agosto de 2023 se recibe en esta Agencia escrito del citado Ayuntamiento manifestando, entre otros, los siguientes aspectos:
- El Ayuntamiento, que dispone de certificado en el Esquema Nacional de Seguridad, categoría media, tiene acceso dentro del sistema EUROCOP, a la DGT, Padrón y VIOGEN, el cual se realiza a través de un servicio web desde EUROCOP mediante el correspondiente certificado y convenio que el Ayuntamiento tiene suscrito con la DGT y el Ministerio del Interior siendo las categorías de datos consultados datos identificativos, personales y, en ocasiones, familiares.
- El personal con perfiles de acceso a los datos de EUROCOP son funcionarios del Ayuntamiento de Siero, pertenecientes al cuerpo de la Policía Local o al departamento de Personal Municipal. En este sentido, todo funcionario, trabajador o personal vinculado al Ayuntamiento de Siero a su incorporación firma una declaración de confidencialidad, cuyo objeto es asumir los términos y condiciones bajo los que mantendrá la confidencialidad de la información y documentación del Ayuntamiento a la que tenga acceso. Entre estos, se encuentra el responsable de tecnologías de la información del Ayuntamiento. Ningún empleado y/o formador de EUROCOP podría acceder al sistema sin la solicitud, autorización y permisos del Ayuntamiento, lo que haría únicamente para consultas, apoyo en la operatoria o soporte técnico.
- Es posible el acceso al sistema desde dispositivos móviles y ordenadores, no siendo posible en ninguno de los dos casos guardar, para ser recordado, el nombre de usuario y contraseña. Sobre las medidas de seguridad de acceso a los diferentes sistemas que integran la plataforma tecnológica de EUROCOP, el investigado destaca doble factor de autentificación y auditoria de accesos a todos los módulos del sistema por parte de los usuarios autorizados.
Concluyen que el tratamiento de datos por parte de los funcionarios del cuerpo de la Policía Local y del Ayuntamiento de Siero se hace en cumplimiento de una obligación legal y en ejercicio de poderes públicos, y que el Ayuntamiento de Siero ha tomado y toma las medidas adecuadas para que se respeten los principios relativos al tratamiento de los datos de carácter personal.
Y adjuntan la siguiente documentación:
- Contrato suscrito con la entidad EUROCOP SECURITY SISTEMS, S.L. en el que se recoge, además de las condiciones de contratación, anexos I y II en los que se enumera las certificaciones y, medidas de seguridad de acceso y autenticación de los sistemas de esta entidad.
- Listado de personal con acceso a los sistemas.
2.- No quedando clara la responsabilidad y vinculación de la persona indicada en la denuncia, se vuelve a requerir información al Ayuntamiento de Siero. A resultas de este requerimiento, con fecha 11 de abril de 2024 se recibe en esta Agencia, escrito remitido por ese Ayuntamiento informando, entre otros, de los siguientes asuntos:
- Listado de los cinco administradores del sistema EUROCOP, señalando que todos ellos son funcionarios públicos del Ayuntamiento de Siero pertenecientes al Cuerpo de la Policía Local y al departamento de personal municipal e informática.
- Que es posible el acceso al sistema EUROCOP tanto desde dispositivos móviles como ordenadores, pero que conocido el hecho de que se podría estar accediendo desde dispositivos móviles, se ordenó la inhabilitación del acceso tanto desde dispositivos móviles como ordenadores al Padrón y a la DGT. Añaden que al sistema VIOGEN nunca se accedió desde EUROCOP.
- Que no se han implantado medidas de seguridad específicas en los teléfonos móviles, limitando la seguridad de acceso al sistema EUROCOP a las credenciales personales.
3.- Solicitado al Ayuntamiento que hiciera algunas aclaraciones adicionales, con fecha 15 de mayo de 2024 se recibe en esta Agencia, escrito con la información solicitada poniendo de manifiesto que las únicas dos personas con perfil de administrador del sistema EUROCOP, no pertenecientes al Cuerpo de Policía, son el Jefe de la Oficina de Tecnologías de la Información y Comunicaciones (TIC) y responsable de seguridad y cumplimiento del Esquema Nacional de Seguridad (ENS), y una auxiliar administrativa del Negociado de Personal. Adjuntan a este escrito copia de los documentos firmados por los cinco administradores del compromiso de confidencialidad de la información en obra del Ayuntamiento. Finalizan poniendo de manifiesto que, una vez ordenada la inhabilitación del acceso al Padrón y a la DGT dentro del sistema EUROCOP, este sistema solo se utiliza para solicitar sus permisos, cambios de turno y vacaciones, que posteriormente se incorporan al cuadrante de la Policía Local. Además, a través del sistema EUROCOP los Policías Locales registran las llamadas que se reciben donde los ciudadanos principalmente solicitan servicios policiales de ayuda, asistencia y denuncia. Sostienen, por tanto, que no se accede a ninguna plataforma que contenga datos personales a través del sistema EUROCOP.
4.- Con fecha de 18 de junio de 2024 se presentan escritos complementarios, informando a esta Agencia de que el acceso a los datos de vehículos y conductores, facilitado por la Dirección General de Tráfico a esta Policía, se está llevando a cabo únicamente por los funcionarios de esta Policía Local desde los dispositivos informáticos del Ayuntamiento, una vez accedido con clave y contraseña al servidor municipal. En referencia a los datos padronales, se ha solicitado en dos remesas acceso al Padrón Municipal por un grupo de agentes que realizan funciones diversas con el siguiente criterio: 2 miembros de cada grupo de trabajo, los dos agentes de Policía Judicial, la auxiliar administrativa de la Policía Local y los agentes encargados de oficina de denuncias. Para ello se emitieron informes desde esta jefatura a los servicios informáticos del Ayuntamiento con fecha 09 de enero de 2024 y 22 de abril de 2024, no pudiendo acceder el resto de los funcionarios a los mencionados datos actualmente. Por lo que respecta a los datos de víctimas especialmente sensibles, por motivos de violencia de género, solamente pueden acceder los dos agentes de Policía de Seguimiento de víctimas ya que la aplicación utilizada, el sistema VIOGEN perteneciente al Ministerio del Interior, requiere usuario y clave emitido por el Cuerpo Nacional de Policía.
Aunque fue solicitado, no consta en la información remitida por este Ayuntamiento que hubieran realizado auditorías internas de acceso al sistema EUROCOP.
Y adjuntan la siguiente documentación:
- Resolución acordando la adhesión integra al Convenio suscrito entre el Organismo Autónomo Jefatura Provincial de Tráfico y la Federación Española de Municipios y Provincias (FEMP) para el intercambio de información y la mutua colaboración administrativa.
- Normativa interna sobre utilización de recursos y sistemas de información conforme al ENS
- Solicitudes de acceso al padrón de habitantes con fechas 09 de enero de 2024 y 22 de abril de 2024 dirigidos al departamento de estadística del Ayuntamiento listando los funcionarios para los que se solicita el acceso.
I Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II Integridad y confidencialidad
La letra f) del artículo 5.1 del RGPD propugna:
"1. Los datos personales serán:
(…)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)."
III Seguridad del tratamiento
El artículo 32 del RGPD estipula lo siguiente:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros."
IV
A partir de lo anterior, en la actualidad según informa este Ayuntamiento, el sistema EUROCOP únicamente se utiliza para cuestiones administrativas y para el registro de llamadas de ciudadanos solicitando principalmente, servicios policiales de ayuda, asistencia y denuncia. El acceso a datos facilitados por la DGT a esta Policía se está llevando a cabo únicamente por los funcionarios de la Policía Local desde los dispositivos informáticos del Ayuntamiento, siendo necesario utilizar credenciales para el acceso. En referencia a los datos padronales, se ha solicitado en dos remesas acceso al padrón municipal por 2 miembros de cada grupo de trabajo, los dos agentes de Policía Judicial, la auxiliar administrativa de la Policía Local y los agentes encargados de oficina de denuncias, no pudiendo acceder actualmente el resto de los funcionarios a estos datos. Añaden que al sistema VIOGEN no se ha accedido nunca a través del sistema EUROCOP y que solamente pueden acceder los dos agentes de Policía de Seguimiento de víctimas, ya que, a este sistema perteneciente al Ministerio del Interior, requiere usuario y clave emitido por el Cuerpo Nacional de Policía.
Finalmente, queda verificado que todos los administradores del sistema EUROCOP, tanto agentes del Cuerpo Policial como los administradores del sistema, incluida la auxiliar administrativa del negociado de personal, firmaron el documento exigido por el Ayuntamiento de deber de confidencialidad sobre la información y datos tratados por el Ayuntamiento.
Por lo tanto, en base a lo indicado en los párrafos anteriores, no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la Agencia Española de Protección de Datos.
Todo ello sin perjuicio de las posibles actuaciones posteriores que esta Agencia pudiera llevar a cabo, aplicando los poderes de investigación y correctivos que ostenta.
Así pues, al no haber sido posible atribuir la responsabilidad por el tratamiento y de acuerdo con lo señalado, por la Directora de la Agencia Española de Protección de Datos, SE ACUERDA:
PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.
SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE SIERO y a la parte reclamante.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y de conformidad con lo establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos