Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 19/12/2024
Se presentó una reclamación por parte de un particular contra un ayuntamiento que organizó una competición deportiva y asoció los números de teléfono de los menores de edad participantes a un grupo de WhatsApp sin el consentimiento expreso de sus padres, utilizando para ello datos recabados de los centros educativos del municipio, lo que infringía la normativa de protección de datos.
Y la AEPD considera que el ayuntamiento efectivamente es responsable de infracción denunciada, señalando que el consistorio vulneró el art. 6.1 del RGPD, que establece que el tratamiento de datos personales debe basarse en una causa de licitud, y el art. 7 LOPDGDD, que exige el consentimiento de los padres para el tratamiento de datos de menores de 14 años.
Número de documento: EXP202304680
Fecha de documento: 19/12/2024
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
PRIMERO: A.A.A. (en adelante, la parte reclamante), en fecha 21 de febrero de 2023, interpuso reclamación ante la Agencia Española de Protección de Datos, dirigida contra el AYUNTAMIENTO DE ALGUAZAS, con NIF P******** (en adelante, la parte reclamada) y con base en los siguientes motivos:
Manifiesta que el ***PUESTO.1 asoció números de teléfono de menores de edad, a un grupo de WhatsApp, sin el consentimiento expreso de sus padres. Según afirma, los citados datos fueron recabados de los centros educativos del municipio de Alguazas, infringiendo la normativa de protección de datos.
Junto a la reclamación aporta denuncia presentada en fecha 16 de enero de 2023, ante la Dirección General de Centros Educativos e Infraestructuras y escrito presentado ante el Ayuntamiento de Alguazas, el 20 de enero de 2023, en el que expone los hechos y solicita la supresión de la base de datos obtenida.
Asimismo, consta informe emitido, en fecha 13 de febrero de 2023, por la Delegación de Protección de Datos para los Centros Docentes de la Consejería de Educación, Formación Profesional y Empleo, al habérsele dado traslado de la denuncia presentada por la parte reclamante.
Con la información disponible considera:
-Que, en el presente caso, a través de las actuaciones de indagación llevadas a cabo por la Delegación de Protección de Datos, se ha tenido conocimiento de que, primeramente, se introdujeron los datos de un teléfono móvil de una menor en un grupo de una red social pero que, inmediatamente después, desapareció dicho grupo de WhatsApp.
-Que los datos utilizados en dicha lista de difusión han sido proporcionados por el alumnado a través de las diversas maneras de inscripción que la concejalía de Educación del Ayuntamiento de Alguazas ideó para promocionar los ll Olimpiadas Juveniles de Alguazas.
-Que no ha habido cesión de datos por parte de ninguno de los centros educativos implicados en esta denuncia, sino que, únicamente, han proporcionado las instalaciones de dichos centros para que su alumnado tuviera conocimiento de unas actividades deportivas organizadas por la Corporación Municipal.
-Que, por tanto, la Administración Educativa no ha cometido infracción alguna de la legislación vigente en protección de datos de carácter personal, pudiéndose demostrar, además, en el presente caso, que el principio de responsabilidad proactiva, en el que se basa el nuevo marco legislativo en esta materia, se ha cumplido con exactitud.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), mediante notificación electrónica, fue recibido en fecha 18 de abril de 2023, como consta en el certificado que obra en el expediente.
No se ha recibido respuesta a este escrito de traslado.
TERCERO: En fecha 21 de mayo de 2023, de conformidad con el artículo 65 de la LOPDGDD, se comunicó la admisión a trámite de la reclamación presentada por la parte reclamante.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos:
El 04 de agosto de 2023, el reclamado responde al requerimiento de 25 de julio de 2023 de esta Agencia:
“El Ayuntamiento de Alguazas organiza anualmente una competición deportiva entre dos centros educativos, para ello se requirió a los jóvenes que desearan participar, que se inscribieran en unos listados desglosados por categorías deportivas, para conocer cuántos asistirían a cada evento deportivo”.
“Además, se proporcionó un QR para que -quien lo desease- pudiera acceder a una comunidad de WhatsApp de forma voluntaria para recibir información y horarios de los eventos deportivos. Dicha comunidad está restringida para que únicamente pueda escribir un número de teléfono y en ningún momento podían interactuar los usuarios en él.”.
Sobre la Finalidad del Tratamiento: “En las hojas de inscripciones únicamente se recogían los siguientes datos: nombre (sin especificarlo completo), edad, sexo, teléfono y modalidades deportivas en las que se participaba. El uso de los datos es meramente organizativo para tener previsión del número de participantes por sexo y categoría de edad en cada modalidad deportiva.”
En cuanto a la Base legal del tratamiento según el artículo 6.1. del RGPD, responde:
“En ningún momento se ha hecho tratamiento alguno de los datos facilitados, puesto que únicamente se han filtrado el número de inscritos, desglosados por edad y sexo, de cada modalidad deportiva. Y, en lo que respecta al grupo de WhatsApp, no se ha hecho tratamiento de datos alguno por parte de este Ayuntamiento, puesto que los jóvenes han accedido libre y voluntariamente a la comunidad para estar informados (tan sólo los que lo han deseado).”
Sobre el modo en que se obtuvieron los datos de los menores: “Se difundió en redes sociales un enlace para inscribirse los jóvenes que lo deseen, así como los mismos jóvenes en los centros educativos realizaron las inscripciones en papel para entregarlas a la concejalía de Juventud.”
Comunica que el Ayuntamiento de Alguazas no dispone de delegado ni responsable de protección de datos.
El 24 de agosto de 2023, se requirió a la reclamante ampliación de información, sin que se haya recibido respuesta por su parte.
El 8 de septiembre de 2023, se recibe respuesta del Ayuntamiento de Alguazas al 2º requerimiento de 24 de agosto de 2023 de esta Agencia.
Adjunta el formulario de inscripción para los II JUEGOS OLÍMPICOS JUVENILES, cuyo contenido completo en papel de oficio con el anagrama del Ayuntamiento de Alguazas, era:
“Anagrama Info Joven Alguazas, HOJA DE INSCRIPCIÓN
II JUEGOS OLÍMPICOS JUVENILES.
Entre enero y febrero de 2023 volveremos a celebrar los JJ.OO. juveniles de Alguazas, en su segunda edición y en los que podrán participar jóvenes del IES Villa de Alguazas y del CES Vega Media en distintas modalidades deportivas.
Nombre y apellidos,
Edad,
Talla de camiseta: XS S M L XL XXL,
Selecciona tu equipo:
• CES Vega Media
• IES Villa de Alguazas.
Selecciona los deportes en los que quieres participar (puedes elegir tantos como desees):” (lista de 26 deportes).
“ ACEPTO recibir comunicaciones vía WhatsApp de la Concejalía de Juventud del Ayuntamiento de Alguazas para recibir información de actividades, cursos u otros asuntos de interés juvenil
• SOLICITO inscribirme y participar en los Juegos Olímpicos juveniles de Alguazas 2023.
ESCANEA ESTE QR PARA ENTRAR AL GRUPO DE WHATSAPP PARA ESTAR INFORMADO DE LAS COMPETICIONES
Código QR para unirse al grupo II JJ.OO. 2023”.
El formulario de inscripción no ofrece la posibilidad de marcar o desmarcar la opción de recibir comunicaciones.
En el anexo II de la respuesta, el reclamado envía imagen de captura del grupo de WhatsApp al que apuntaba el QR, del que se desprende que fue creado el 20/11/2022 y contiene sólo 2 participantes: ***USUARIO.1 e Info Joven Alguazas, ambos administradores del grupo. El reclamado alega que el grupo de WhatsApp era restringido y solo el administrador podía enviar información.
El reclamado declara que en la hoja de inscripción no se daba información sobre el tratamiento de los datos personales, cuando la información se obtiene del interesado.
Manifiesta que el Ayuntamiento ya no conserva físicamente los documentos de inscripción, porque los destruyó tras volcarlos en un archivo Excel que permitiera hacer el recuento de los inscritos en cada modalidad deportiva. Señala que nadie tiene acceso a estos datos, ni consideran que se trate de datos personales comprometidos.
Adjunta la imagen de la información difundida en Instagram: “II JUEGOS OLÍMPICOS Juveniles Alguazas, de enero a febrero de 2023, IES VILLA DE ALGUAZAS VS CES VEGA MEDIA,” algunos de los deportes, “más información en www.juventud.alguazas.es” y un código QR que apunta a una entrada de información del Ayuntamiento sobre dichos II juegos Juveniles 2023.
En el formulario de inscripción no se incluye una casilla de consentimiento en relación con los servicios de la sociedad de información, ni discrimina entre mayores y menores de 14 años, ni incluye consentimiento alguno para los tutores legales, en el caso de los menores de 14.
En la diligencia firmada por el inspector, en fecha 23 de noviembre de 2023, puede verse otra hoja de inscripción (https://juventud.alguazas.es/events/nuevo-grupo-dejovenes-para-el-curso-2023-2024/) en el grupo de jóvenes para el curso 2023-2024. Se facilita un formulario de inscripción en un grupo de WhatsApp para “para edades comprendidas entre 13 y 16 años “, con los campos Nombre * Apellidos * Teléfono * Edad *, con dos casillas premarcadas:
“Acepto recibir comunicaciones vía WhatsApp de la Concejalía de Juventud para recibir información de actividades, cursos u otros asuntos de interés juvenil, así como a ser incluido en grupos de WhatsApp.
Solicito inscribirme al grupo de jóvenes del curso 2023/2024 para participar en las actividades que se realicen.”
En la diligencia de 13 de octubre de 2023, correspondiente al contenido de: https://juventud.alguazas.es/damos-inicio-a-los-ii-juegos-olimpicos-congregando-masde-700-jovenes/ se recoge que el número de participantes en los juegos es mayor de 700.
El 26 de octubre de 2023, se recibe respuesta al requerimiento de 14 de septiembre de esta Agencia, en la que adjunta capturas de pantalla de la configuración del grupo de WhatsApp donde:
• Puede verse que sólo los administradores pueden editar la configuración del grupo y enviar mensajes.
• No se ven las fechas, ni los mensajes enviados al grupo.
• Identifica al administrador “Info Joven Alguazas” con número de teléfono ***TELÉFONO.1 que corresponde a la ***PUESTO.2, B.B.B.. Declara que dicho grupo es gestionado directamente por el personal administrativo de la Concejalía de Deportes.
• Declara que el Ayuntamiento de Alguazas no dispone de información sobre los Integrantes del grupo en la fecha de los Juegos Olímpicos, ya que las inscripciones se hicieron de forma voluntaria y, a raíz de la denuncia interpuesta por el ***PARTIDO.1 del municipio de Alguazas, se procedió a eliminar a los usuarios de este.
• Adjunta impresión de los archivos Excel con 351 personas inscritas: la mayoría menores y algunos adultos entre 24 y 34 años. Concretamente hay 137 jóvenes de 12 y 13 años. Los campos incluidos son: CURSO, Nombre y apellidos, Sexo, Edad, Talla, equipo y 26 competiciones deportivas, medallas y participaciones.
• Manifiesta que los archivos Excel adjuntos se hallan única y exclusivamente almacenados en el ordenador portátil personal de la ***PUESTO.3, encargada de la gestión y organización de los eventos. El único uso de dichos archivos Excel era organizar las competiciones, saber cuántos participantes, de qué centros y qué categorías de edad iban a participar en cada prueba deportiva. También era necesario conocer la talla de cada participante, pues se le entregaba una camiseta a cada uno de ellos para la realización de los torneos.
El 7 de noviembre de 2023 se incorpora al expediente el documento “Medallero II Juegos Juveniles.pdf” obtenido de la página ***URL.1 en la que se muestran imágenes de jóvenes junto con sus nombres tras la entrega de medallas, en los Juegos Olímpicos de Alguazas, sin que se haya visto información relativa a la publicación de imágenes en la inscripción, ni tampoco solicitud de consentimiento para publicarlas.
El 13 de diciembre de 2023 se utiliza el nº de teléfono ***TELÉFONO.2 para unirlo al grupo de WhatsApp:” II JJ.OO. 2023” a través del código QR enviado por el ayuntamiento de Alguazas en su respuesta del 8 de septiembre de 2023. La diligencia del 13 de diciembre de 2023, evidencia que cualquier persona con acceso al código QR puede unirse al grupo y ver los teléfonos de los participantes, así como el nombre e “info” que cada usuario publique en esa aplicación.
CUARTO: Con fecha 26 de junio de 2024, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, por la presunta infracción del artículo 6.1, artículo 7, artículo 37 y artículo 13 del RGPD, tipificadas en el artículo 83.5, letras a) - en el caso del artículo 6 y 7 -y b)- en el caso del artículo 13- del RGPD y Artículo 83.4 a) del RGPD en el supuesto del artículo 37.
QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP, la parte reclamada presentó, en fecha 11 de julio de 2024, escrito de alegaciones en el que, en síntesis, manifestaba que “el equipo de protección de datos ha estado y está recopilando toda la documentación y acciones proactivas de cara a implementar las medidas técnicas y organizativas con respecto al expediente en cuestión”:
1. Infracción del Art. 6.1 del RGPD, “inscripción de datos de menores en el grupo de WhatsApp creado por el Ayuntamiento sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.”
Se ha procedido a cancelar dicho tratamiento, en archivo Excel, por lo que a día de la fecha no existe ningún dato personal de chicos/as referentes al grupo II JJ. OO 20222023.
En el teléfono ***TELÉFONO.1 se gestiona el WhatsApp municipal correspondiente a juventud, donde se ha incorporado información correspondiente a protección de datos (Anexo II)
Respecto a los formularios se hace referencia en los puntos siguientes.
1. Infracción del Art. 6.1 del RGPD, “tratamiento de datos personales de menores de edad en el formulario de inscripción, sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.”
Se han implementado los siguientes cambios en la web de juventud: https://juventud.alguazas.es/espacio-ocio-joven/
a. Se han desmarcado los checks en los formularios.
b. Se ha incluido un punto: “¿Tienes menos de 14 años? Habla con tu madre y padre para consultarles cómo puedes crear una cuenta “. Solo se darán de alta a menores de 14 años con autorización materna/paterna o tutor legal.
c. En los formularios, por aplicación del principio de minimización, Art. 5.1.c, se elimina el dato DNI/NIE incluido con anterioridad.
d. Los checks quedan:
“Acepto recibir comunicaciones vía WhatsApp de la concejalía de Juventud para recibir información de actividades, cursos u otros asuntos de interés juvenil.”
o Sí
o No
o He leído y acepto la política de privacidad
e. Se ha actualizado la “Política de Privacidad” de la web de juventud.
Los cambios precisados, se hacen extensivos a todos los formularios de la web de juventud del Ayuntamiento de Alguazas. (Anexo IV)
Respecto del resto de imágenes que aparecen en la web de juventud (que se mantienen en la web), indica que forman parte de eventos diversos deportivos, culturales, incluso ERASMUS, y en los cuales la base de legitimación es el Artículo 6.1.e, “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.
El Ayuntamiento de Alguazas considera que la información de las actividades llevadas a cabo en dichos eventos y/o actividades son hechos noticiables en los que se manifiesta la existencia de un interés público con el fin de que se dé a conocer los mismos a la colectividad, por lo que aplica lo dispuesto en el 20.1.a) y d) de la Constitución Española que regula la libertad de expresión e información.
1. Infracción del Art. 6.1 del RGPD, “publicación de imágenes de los jóvenes en la web del Ayuntamiento sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD”
Se han eliminado la web donde aparecían las imágenes de jóvenes en la web ***URL.1.
2. Infracción del Art. 7 del RGPD “para publicar o difundir la imagen de menores de edad se requiere el consentimiento de los padres o tutores si es menor de 14 años y, en todo caso, si es mayor de 14 el consentimiento del menor”
Se han establecido los protocolos para el tratamiento de datos de jóvenes de la localidad de Alguazas en el departamento de juventud, mediante los formularios donde se solicita tanto la autorización paterna/materna/tutor para el tratamiento de imágenes de jóvenes menores de 14 años, como el consentimiento de estos cuando sean mayores de 14 años. Se incluye en el Anexo I.
3. Infracción del artículo 13 del RGPD “Información que deberá facilitarse cuando los datos personales se obtengan del interesado”.
Se han actualizado los formularios, tanto en la web, como los correspondientes a los formularios físicos.
A su vez, se ha incluido “Política de Privacidad” en la web https://alguazas.es/politicade-privacidad/, como la correspondiente a juventud.
Todo ello, para cumplir con los principios relativos al tratamiento, la licitud del tratamiento, las condiciones para el consentimiento y el principio de información – transparencia, se han ejecutado con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Anexos I y IV.
4. Infracción del artículo 37 del RGPD “designación del delegado de protección de datos los apartados 3 y 5 el artículo 37 del RGPD”
El Ayuntamiento de Alguazas, en cumplimiento del artículo 37, ha designado delegado de protección de atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6.
El delegado de protección de datos desempeña sus funciones en el marco de un contrato de servicios, desde la fecha 5/12/2023 mediante decreto de Alcaldía-Presidencia número 1407/2023, y registrado con fecha 14/12/2023 en el Registro de la Agencia Española de Protección de Datos (Anexo III)
Desde su nombramiento se ha centrado en sus funciones de “informar y asesorar”, así como la supervisión del cumplimiento de la normativa de protección de datos en el Ayuntamiento de Alguazas en relación con la normativa local, así como labores de concienciación.
Entre los aspectos que se han implementado a fecha del presente, indica:
• Alta Delegado de Protección de Datos en el registro de la AEPD.
• Publicación del RAT (Registro de Actividades de Tratamiento) en el área de transparencia municipal:
https://alguazas.sedelectronica.es/transparency/5a5bdbf9-e869-4e9b911c59ebef64655e/
• Redacción y publicación de la “Política de Privacidad” y “Aviso Legal” en la web municipal, juventud y deportes.
• Formación al área de servicios sociales.
• Informes correspondientes a: “INFORME SOBRE ACCESO A LA INFORMACIÓN MUNICIPAL POR PARTE DE LOS CONCEJALES Y PROTECCIÓN DE DATOS.” desde la perspectiva de la normativa de protección de datos de carácter personal, normativa local y jurisprudencia. En una segunda versión se amplía al acceso por parte de los miembros de la Corporación Local al Registro de E/S, legitimación para acceso a datos de categorías especiales de datos personales. Legitimación para acceso a la plataforma de gestión documental.
• Apoyo a los departamentos que han requerido su información y asesoramiento en cuanto a los principios de la normativa de protección de datos.
• Revisión y actualización de los distintos formularios de recogida y tratamiento de datos de carácter personal.
SEXTO: Con fecha 23 de octubre de 2024 se formuló propuesta de resolución, en la que se proponía lo siguiente:
Que por la Directora de la Agencia Española de Protección de Datos se imponga al AYUNTAMIENTO DE ALGUAZAS, con NIF P********,
-por la infracción del artículo 6.1 del RGPD, tipificada conforme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. b) de la LOPDGDD, declaración de infracción. Ello por la inscripción de datos de menores en el grupo de WhatsApp creado por el Ayuntamiento sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.
-por la infracción del artículo 6.1 del RGPD, tipificada conforme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. b) de la LOPDGDD, declaración de infracción. Ello por el tratamiento de datos personales de menores de 14 años en el formulario de inscripción, sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.
-por la infracción del artículo 6.1 del RGPD, tipificada conforme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. b) de la LOPDGDD, declaración de infracción. Ello por la publicación de imágenes de los jóvenes en la web del Ayuntamiento sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.
-por la infracción del artículo 7 del RGPD, tipificada conforme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. c) de la LOPDGDD, declaración de infracción.
- por la infracción del artículo 13 del RGPD, tipificada conforme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72. 1. h) de la LOPDGDD, declaración de infracción.
-por la infracción del artículo 37 del RGPD, tipificada conforme a lo dispuesto en el artículo 83.4 del RGPD, calificada como grave a efectos de prescripción en el artículo 73 v) de la LOPDGDD, declaración de infracción.
SÉPTIMO: Notificada la citada propuesta de resolución conforme a las normas establecidas en la LPACAP, en fecha 29 de octubre de 2024, tiene entrada escrito de alegaciones de la parte reclamada.
En dicho escrito de alegaciones la reclamada señala que no se valoran las acciones y medidas implantadas para continuar indicando que, en las alegaciones señaladas, no se pretende revertir aquellas actuaciones previas a las cuales no es posible, ni pretendemos anular. Si no, de forma proactiva conducir al Ayuntamiento de Alguazas al entorno de cumplimiento en relación con la normativa vigente, y que indudablemente supone la adopción de medidas técnicas y organizativas que mitigan las situaciones objeto de inspección y demostrar que se están tomando medidas a nivel activo, tales como: (a lo que continúa la relación de medidas adoptadas por el Ayuntamiento hasta el momento en que se dirige el mencionado escrito)
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
PRIMERO: Consta que el Ayuntamiento de Alguazas organizó una competición deportiva entre los jóvenes de los dos institutos del municipio denominada: II Juegos Olímpicos de Alguazas. Con este motivo se proporcionó al alumnado interesado unos formularios en los que se solicitaba: nombre, apellidos, edad, talla de camiseta, equipo y deportes en los que participar (no consta si los campos eran obligatorios u opcionales).
En el mismo formulario se incluía un código QR para que -quien lo desease- pudiera acceder a una comunidad de WhatsApp para recibir información y horarios de los eventos deportivos.
SEGUNDO: Las actuaciones de investigación desarrolladas han permitido constatar la creación del grupo WhatsApp, en fecha 20 de noviembre de 2022, para el que se asoció el número de teléfono móvil de un menor de edad, sin acreditar ni constar autorización alguna.
Se ha evidenciado que cualquier persona con el enlace, podía unirse. En ese grupo sólo los administradores podían enviar mensajes.
TERCERO: El formulario de inscripción no discriminaba entre mayores y menores de 14 años, ni incluía consentimiento alguno para los tutores legales en el caso de los menores de 14 años. Únicamente informaba de que se aceptaba recibir comunicaciones vía WhatsApp.
Se evidencia que la inscripción en este grupo de WhatsApp, aunque no permitiera el envío de mensajes, suponía la visualización del número de teléfono de sus participantes.
CUARTO: En la web y en las redes sociales del Ayuntamiento se mostraban imágenes de jóvenes junto con sus nombres tras la entrega de medallas. De esta publicación de imágenes no se informaba en la inscripción.
QUINTO: Con posterioridad a las actuaciones de investigación, la parte reclamada designa Delegado de Protección de Datos.
I Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II Alegaciones al acuerdo de inicio
En respuesta a las alegaciones presentadas por la entidad reclamada se debe señalar lo siguiente:
Alega la entidad reclamada que su equipo de protección de datos ha estado y está recopilando toda la documentación y acciones proactivas de cara a implementar las medidas técnicas y organizativas con respecto al expediente en cuestión.
Analizada la documentación, se debe subrayar que el Reglamento Europeo General de Protección de Datos entró en vigor en mayo de 2016, si bien conforme establece su artículo 99, fue aplicable a partir del 25 de mayo de 2018, marcando el fin de un período de adaptación de dos años. Por tanto, el responsable del tratamiento ha tenido un amplio margen de tiempo para adoptar las medidas necesarias para el cumplimiento de la normativa vigente en materia de protección de datos.
Los hechos probados en el procedimiento evidencian la ilicitud del tratamiento de datos llevado a cabo, así como la necesidad de adecuar a dicha normativa las operaciones de tratamiento que realiza.
En este sentido se hace necesario poner de manifiesto que al inicio del presente procedimiento sancionador existía un incumplimiento de la normativa vigente en materia de protección de datos, lo que se pone de manifiesto con las acciones ahora llevadas a cabo.
Así, por ejemplo, según indica la parte reclamada:
o se ha procedido a cancelar el tratamiento de datos personales de chicos/as referentes al grupo II JJ. OO 2022- 2023, en archivo Excel, por lo que a día de la fecha no existe ningún dato personal
o se han implementado cambios en la web de juventud
o se ha eliminado la web donde aparecían las imágenes de jóvenes
o se han establecido los protocolos para el tratamiento de datos de jóvenes de la localidad de Alguazas en el departamento de juventud, mediante los formularios donde se solicita tanto la autorización paterna/materna/tutor para el tratamiento de imágenes de jóvenes menores de 14 años, como el consentimiento de estos cuando sean mayores de 14 años
o se han actualizado los formularios, tanto en la web, como los correspondientes a los formularios físicos
o se ha incluido “Política de Privacidad” en la web
o el Ayuntamiento de Alguazas, en cumplimiento del artículo 37, ha designado un delegado de protección de datos.
Dichas acciones han llegado como respuesta al inicio del procedimiento sancionador, en lugar de como parte de una estrategia proactiva de gestión de riesgos.
En cuanto a la designación del Delegado de Protección de Datos, se significa que su nombramiento no implica que no se haya producido la vulneración del artículo 37 del RGPD, durante todo el tiempo que no ha sido nombrado.
No obstante, se debe señalar en cuanto a las nuevas medidas que se han adoptado o se está trabajando en adoptar de cara a reforzar el cumplimiento en materia de protección de datos, que, aunque reflejan una conducta positiva, no desvirtúan los hechos constatados.
En consecuencia, las alegaciones deben ser desestimadas, significándose que las argumentaciones presentadas no desvirtúan el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficiente.
III Alegaciones a la Propuesta de resolución
En respuesta a la propuesta de resolución, la parte reclamada insiste en que ha adoptado medidas y que, si bien no se pretende revertir aquellas actuaciones previas a las cuales no es posible, ni pretendemos anular entiende que dichas medidas permitirían de forma proactiva conducir al Ayuntamiento de Alguazas al entorno de cumplimiento en relación con la normativa vigente, y que indudablemente supone la adopción de medidas técnicas y organizativas que mitigan las situaciones objeto de inspección y demostrar que se están tomando medidas a nivel activo.
Las medidas que señala la parte reclamada en su escrito de alegaciones a la propuesta de resolución se concretan en las siguientes:
• Designación de un Delegado de Protección de Datos (DPO).
• Elaboración, actualización y publicación del RAT.
• Elaboración de políticas y procedimientos de protección de datos.
• Definición de roles y responsabilidades en materia de privacidad.
• Implementación de un procedimiento de gestión de brechas de seguridad.
• Formación y concientización
• Se debe evidenciar que se está trabajando en la formación del personal:
• Programas de capacitación en protección de datos para empleados.
• Campañas de concienciación sobre seguridad de la información.
• Distribución de guías y manuales sobre buenas práctica
• Medidas correctivas
• Es crucial demostrar que se están tomando acciones para corregir las deficiencias detectadas:
• Plan de subsanación de incumplimientos identificados.
• Implementación de controles adicionales en áreas de riesgo.
• Revisión y actualización de contratos con proveedores.
Como puede observarse, con carácter general, estas medidas ya fueron informadas en el escrito de alegaciones a la propuesta de inicio y, si bien, como indicamos en la propuesta de resolución, merecen sin lugar a duda una valoración positiva por parte de esta AEPD, no desvirtúan que las infracciones hayan sido cometidas y que, en definitiva, deba declararse la infracción imputable a la parte reclamada.
IV Obligación incumplida. Licitud del tratamiento.
Los hechos puestos de manifiesto en la presente reclamación se materializan en la organización por parte del Ayuntamiento de Alguazas de una competición deportiva entre los jóvenes de los dos institutos del municipio. Con este motivo en el mismo formulario de inscripción se proporcionaba un código QR para que -quien lo desease pudiera acceder a una comunidad de WhatsApp para recibir información y horarios de los eventos deportivos.
Las actuaciones de investigación desarrolladas han permitido constatar la creación del grupo WhatsApp en fecha 20 de noviembre de 2022, al que se asoció el número de teléfono móvil de menores de edad, sin acreditar ni constar autorización alguna, lo que podría suponer la vulneración de la normativa en materia de protección de datos personales.
En primer lugar, dicho tratamiento podría ser constitutivo de una infracción del artículo 6.1 del RGPD, Licitud del tratamiento, que dispone:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones”.
Por otra parte, el Considerando 40 de la RGPD, dispone que
«Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o a la necesidad de ejecutar un contrato con el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.»
También el artículo 4 del RGPD, Definiciones, en su apartado 11, señala que:
“11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Los hechos reclamados se materializan en la publicación de la imagen de la hija de la parte reclamante, menor de edad, en la red social Facebook, sin contar con autorización para ello.
El tratamiento de datos de carácter personal requiere la existencia de una base legal que lo legitime.
De conformidad con el artículo 6.1 del RGPD, además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular, en particular, cuando sea necesario para la ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del afectado que requieran la protección de tales datos. El tratamiento también se considera lícito cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del afectado o de otra persona física o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
En las actuaciones de investigación consta un archivo Excel con 351 personas inscritas: la mayoría menores y algunos adultos entre 24 y 34 años. Concretamente hay 137 jóvenes de 12 y 13 años.
En relación con el consentimiento de los menores, establece el artículo 7 de la LOPDGDD:
“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela”.
Y el artículo 92, Protección de datos de los menores en Internet, de la LOPDGDD dispone que:
“Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica”.
De la normativa señalada se deduce que para publicar o difundir la imagen de menores de edad se requiere el consentimiento de los padres o tutores si es menor de 14 años y, en todo caso, si es mayor de 14 el consentimiento del menor.
En el caso analizado, la parte reclamada no ha acreditado ni justificado base legal alguna que legitime el tratamiento de los datos de los menores inscritos, especialmente, los menores de 14 años, para los que se necesita consentimiento de su padre/madre/tutor.
Por tanto, se considera que la conducta del reclamado vulnera el principio de licitud consagrado en el artículo 6.1 del RGPD.
La falta de diligencia desplegada por la parte reclamada en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personal es, pues, evidente. Un cumplimiento diligente del principio de licitud en el tratamiento de datos personales requiere que el tratamiento se base en una causa de las previstas en el artículo 6 del RGPD, lo que, trasladado al supuesto analizado, significa que ha de poder acreditar que el titular de los datos consintió la recogida de sus datos de carácter personal o que el tratamiento se basó en un interés legítimo prevalente y desplegar una razonable diligencia imprescindible para acreditar ese extremo. De no actuar así el resultado sería vaciar de contenido el principio de licitud.
En consecuencia, se considera que los hechos acreditados son constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 6.1 del RGPD.
V Tipificación y calificación de la infracción
La citada infracción del artículo 6.1 del RGPD supone la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (…)”
A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.
A efectos del plazo de prescripción, el artículo 72 “Infracciones consideradas muy graves” de la LOPDGDD indica:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
VI Obligación incumplida. Licitud del tratamiento.
En segundo lugar, para la organización por parte del Ayuntamiento de Alguazas de la competición deportiva se solicitó al alumnado interesado, entre ellos, menores de 14 años, que se inscribieran a través de unos formularios en los que se solicitaba: nombre, apellidos, edad, talla de camiseta, equipo y deportes en los que participar, sin acreditar ni constar autorización alguna, o en el caso de los mayores de 14 años, su consentimiento, lo que podría suponer la vulneración de la normativa en materia de protección de datos personales.
Dicho tratamiento podría ser constitutivo de una infracción del artículo 6.1 del RGPD, Licitud del tratamiento, que dispone:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones”.
El tratamiento de datos de carácter personal requiere la existencia de una base legal que lo legitime.
En este sentido se dan por reproducidos los argumentos anteriormente señalados respecto a la necesidad de contar con una base de licitud que legitime el tratamiento.
De conformidad con el artículo 6.1 del RGPD, además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular, en particular, cuando sea necesario para la ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del afectado que requieran la protección de tales datos. El tratamiento también se considera lícito cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del afectado o de otra persona física o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
En las actuaciones de investigación consta un archivo Excel con 351 personas inscritas: la mayoría menores y algunos adultos entre 24 y 34 años. Concretamente hay 137 jóvenes de 12 y 13 años.
En relación con el consentimiento de los menores, establece el artículo 7 de la LOPDGDD:
“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela”.
Y el artículo 92, Protección de datos de los menores en Internet, de la LOPDGDD dispone que:
“Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica”.
De la normativa señalada se deduce que para publicar o difundir la imagen de menores de edad se requiere el consentimiento de los padres o tutores si es menor de 14 años y, en todo caso, si es mayor de 14 el consentimiento del menor.
En el caso analizado, la parte reclamada no ha acreditado ni justificado base legal alguna que legitime el tratamiento de los datos de los menores de 14 años, toda vez que, en el formulario de inscripción, no se incluye una casilla de consentimiento para los tutores legales en el caso de menores de 14 años.
Por tanto, se considera que la conducta del reclamado vulnera el principio de licitud consagrado en el artículo 6.1 del RGPD.
La falta de diligencia desplegada por la parte reclamada en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personal es, pues, evidente. Un cumplimiento diligente del principio de licitud en el tratamiento de datos personales requiere que el tratamiento se base en una causa de las previstas en el artículo 6 del RGPD, lo que, trasladado al supuesto analizado, significa que ha de poder acreditar que el titular de los datos consintió la recogida de sus datos de carácter personal o que se basó en un interés legítimo prevalente y desplegar una razonable diligencia imprescindible para acreditar ese extremo. De no actuar así el resultado sería vaciar de contenido el principio de licitud.
En consecuencia, se considera que los hechos acreditados son constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 6.1 del RGPD.
VII Tipificación y calificación de la infracción
La citada infracción del artículo 6.1 del RGPD supone la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (…)”
A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.
A efectos del plazo de prescripción, el artículo 72 “Infracciones consideradas muy graves” de la LOPDGDD indica:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
VIII Obligación incumplida. Licitud del tratamiento.
En tercer lugar, en las actuaciones de investigación desarrolladas por la presenta autoridad, se ha tenido conocimiento de la publicación, en la página: ***URL.1, de las imágenes de estos jóvenes, junto con su nombre, tras la entrega de medallas en la actividad deportiva organizada.
Hay que señalar, que la imagen está considerada como un dato personal de acuerdo con la definición de dato personal proporcionada por el artículo 4 del RGPD y, como tal, cualquier tratamiento que se realice de las imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios establecidos. En este sentido, para poder tratar cualquier dato personal se exige un consentimiento expreso por parte de su titular, por lo que, para tratar (publicar) la imagen de una persona, necesitamos su consentimiento o el de su representante o tutor, o cualquier otra causa de legitimación del artículo 6.1 del RGPD.
El mencionado artículo establece de forma expresa que el tratamiento “solo será lícito si se cumple al menos alguna de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
De esta forma, la persona tiene derecho a consentir sobre la recogida y uso de su imagen y, además, corresponde al responsable del tratamiento asegurarse de que aquel a quien se solicita su consentimiento efectivamente lo da, por lo que dicho tratamiento sólo será legítimo si está basado en alguno de los fundamentos jurídicos que enumera el art. 6.1 del RGPD.
Según el artículo 4.11 del RGPD, el consentimiento del interesado es: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”;
En relación con el consentimiento de los menores, establece el artículo 7 de la LOPDGDD:
“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela”.
Y el artículo 92, Protección de datos de los menores en Internet, de la LOPDGDD dispone que:
“Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica”.
De la normativa señalada se deduce que para publicar o difundir la imagen de menores de edad se requiere el consentimiento de los padres o tutores si es menor de 14 años y, en todo caso, si es mayor de 14 el consentimiento del menor.
En consecuencia, se considera que los hechos acreditados son constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 6.1 del RGPD.
IX Tipificación y calificación de la infracción
La citada infracción del artículo 6.1 del RGPD supone la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (…)”
A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.
A efectos del plazo de prescripción, el artículo 72 “Infracciones consideradas muy graves” de la LOPDGDD indica:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
X Obligación incumplida. Condiciones para el consentimiento.
El artículo 4.11 del RGPD define el consentimiento del interesado como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
En este sentido, el artículo 6.1 de la LOPDGDD entiende por consentimiento “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Por su parte, el artículo 7 “Condiciones para el consentimiento” del RGPD establece:
“1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”
De las actuaciones de investigación desarrolladas, se constata que el formulario de inscripción no ofrecía la posibilidad de marcar o desmarcar la opción de recibir comunicaciones. Como se expresaba con anterioridad, el tratamiento de datos personales requiere la existencia de una base legal que lo legitime. Cuando la base de legitimación sea el consentimiento, si se desea obtener el consentimiento para finalidades diferentes, se deberá recabar el consentimiento para cada una de ellas y ser prestado válidamente y de forma expresa, debiendo dar la opción al usuario dar el consentimiento libre e individualizado.
En consecuencia, se considera que los hechos acreditados son constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 7 del RGPD.
XI Tipificación de la infracción del artículo 7 del RGPD
La citada infracción del artículo 7 del RGPD supone la comisión de la infracción tipificada en el artículo 83.5 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (…)”
A efectos del plazo de prescripción, el artículo 72.1 “Infracciones consideradas muy graves” de la LOPDGDD indica:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes: (…)
c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento”
XII Obligación incumplida. Información que deberá facilitarse cuando los datos personales se obtengan del interesado
El tratamiento debe estar presidido por los principios que relaciona el artículo 5 del RGPD, que dispone:
“Los datos personales serán:
a) Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); (…)”.
Manifestación del principio de transparencia es la obligación que incumbe a los responsables del tratamiento de informar, en los términos del artículo 13 del RGPD, al titular de los datos personales cuando estos se obtengan directamente del interesado:
“1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) La identidad y los datos de contacto del responsable y, en su caso, de su representante;
a) los datos de contacto del delegado de protección de datos, en su caso;
a) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
c) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
d) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
a) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
a) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
b) el derecho a presentar una reclamación ante una autoridad de control;
c) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
d) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.”
En ese sentido, el Considerando 60 del RGPD dice que “Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran.”
El principio de transparencia, vinculado a los principios de licitud y de lealtad (artículo 5.1.a del RGPD), engloba específicamente el deber del responsable de informar a los afectados sobre una serie de cuestiones, en los términos del artículo 13 del RGPD, anteriormente citado. De las actuaciones de investigación llevadas a cabo, se deprende que el Ayuntamiento, como responsable del tratamiento de datos, no dio información en las hojas de inscripción sobre dicho tratamiento, entre otras cuestiones, sobre su finalidad y su base jurídica (artículo 13.1.c del RGPD).
En concreto, el responsable del tratamiento no facilitó información sobre el tratamiento de los datos personales a los usuarios cuando la información se obtiene del interesado, en cuanto a la finalidad del tratamiento, si bien era organizar la competición deportiva, no lo explicita como tal, no queda establecida la base legal, ni reconoce que haya existido tratamiento.
Es más, según el considerando 58 del RGPD “(...). Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender”.
Por tanto, en relación con los menores de edad, la información que se les facilite deberá estar especialmente adaptada a su nivel de comprensión.
En consecuencia, se considera que los hechos acreditados son constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 13 del RGPD.
XIII Tipificación y calificación de la infracción del artículo 13 del RGPD
La citada infracción del artículo 13 del RGPD supone la comisión de la infracción tipificada en el artículo 83.5 del RGPD que, bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) (…)
b) los derechos de los interesados a tenor de los artículos 12 a 22;
(…)”
A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los tres años, conforme al artículo 72.1.h de la LOPDGDD, que califica de muy grave la siguiente conducta:
“h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica”.
XIV Obligación incumplida. Artículo 37 RGPD.
Las Administraciones Públicas actúan como responsables del tratamiento de datos de carácter personal y, en ocasiones, ejercen funciones de encargados del tratamiento por lo que les corresponde, siguiendo el principio de responsabilidad proactiva, atender las obligaciones que el RGPD detalla, entre las que se incluye la de nombrar un delegado de protección de datos, hacer públicos sus datos de contacto y comunicarlo a la AEPD.
Los apartados 1 y 7 del artículo 37 del RGPD se refieren a esas obligaciones y establecen, respectivamente:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial; (…)
7. El responsable o el encargado de tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.”
Sobre la designación del delegado de protección de datos los apartados 3 y 5 el artículo 37 del RGPD señalan que:
“3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
(…)
5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.”
Por su parte, la LOPDGDD dedica el artículo 34 a la “Designación de un delegado de protección de datos”, precepto que dispone:
“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 (...)
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en los que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.
En el expediente que ahora se analiza consta un escrito, de fecha 4 de agosto de 2023, firmado por el ***PUESTO.1, en el que se pone en conocimiento de la AEPD que, dada la dimensión del Ayuntamiento y sus recursos, el Ayuntamiento de Alguazas no dispone de delegado ni responsable de protección de datos y que esta figura no está dotada presupuestariamente ni prevista en la plantilla ni en la RPT.
Asimismo, informa que se está llevando a cabo un proceso de modificación de dichos instrumentos de planificación y gestión de recursos humanos, deseando dotar, entre otros puestos, el de responsable o delegado de protección de datos.
Tal y como se ha indicado, el RGPD dispone que el responsable y encargado de tratamiento deberán designar un DPD en el caso de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, así como “publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.”
En consecuencia, se considera que los hechos acreditados son constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 37 del RGPD, “Designación del delegado de protección de datos”.
XV Tipificación y calificación de la infracción del artículo 37 RGPD
La citada infracción del artículo 37 del RGPD supone la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)”
A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.
A efectos del plazo de prescripción, el artículo 73 “Infracciones consideradas graves” de la LOPDGDD indica:
“En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”
XVI Sanción
El artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD en su apartado 7 establece:
“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”
Asimismo, el artículo 77 “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente:
“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
(…)
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(…)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.”
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos:
PRIMERO: DECLARAR que el AYUNTAMIENTO DE ALGUAZAS, con NIF P********,
- Ha infringido lo dispuesto en el artículo 6.1 del RGPD, infracción tipificada en el artículo 83.5 a) del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. b) de la LOPDGDD, por la inscripción de datos de menores en el grupo de WhatsApp creado por el Ayuntamiento sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.
- Ha infringido lo dispuesto en el artículo 6.1 del RGPD, infracción tipificada en el artículo 83.5 a) del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. b) de la LOPDGDD, por el tratamiento de datos personales de menores de 14 años en el formulario de inscripción, sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.
- Ha infringido lo dispuesto en el artículo 6.1 del RGPD, infracción tipificada en el artículo 83.5 a) del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. b) de la LOPDGDD, por la publicación de imágenes de los jóvenes en la web del Ayuntamiento sin haber acreditado que dicho tratamiento de datos pueda basarse en una de las causas de licitud contempladas en el citado artículo 6.1 del RGPD.
- Ha infringido lo dispuesto en el artículo 7 del RGPD, infracción tipificada conforme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1. c) de la LOPDGDD.
- Ha infringido lo dispuesto en el artículo 13 del RGPD, tipificada conforme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72. 1. h) de la LOPDGDD.
- Ha infringido lo dispuesto en el artículo 37 del RGPD, infracción tipificada conforme a lo dispuesto en el artículo 83.4 del RGPD, calificada como grave a efectos de prescripción en el artículo 73 v) de la LOPDGDD.
SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE ALGUAZAS.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos