Infracción de la LOPD por incluir los números de teléfono particulares de policías locales en el plan de emergencias


AEPD 22/08/2024

Se presenta reclamación por un sindicato de policías locales al tener constancia de que los números de teléfono particulares de algunos policías locales constaban en el plan de emergencias de un municipio.

Señala la AEPD que no puede ser aceptado que el tratamiento del dato del teléfono móvil particular de los agentes se encuentre legitimado por ser necesario para dar cumplimiento a una obligación legal exigible al responsable del tratamiento, además, del cumplimiento de una misión realizada en interés público, porque ninguna norma lo recoge ni el interés público lo suscita. Y, si bien el teléfono se considera un canal de comunicación necesario en determinadas circunstancias conforme al principio de coordinación establecido en la normativa aplicable, en ningún caso figura y se recoge que el dato telefónico deba ser el número del móvil particular del agente.

La AEPD añade que el número de teléfono móvil es un dato más de carácter personal del agente y debe ser tratado con la misma confidencialidad que el resto de sus datos de carácter personal.

No obstante, si bien la AEPD declara que el ayuntamiento ha infringido lo dispuesto en el art. 6.1 RGPD, no impone la adopción de medidas al haberse eliminado los datos incluidos en el plan de emergencias de los distritos afectados, tanto por el ayuntamiento como por la empresa adjudicataria del servicio.

Agencia Española de Protección de Datos, Resolución, 22-08-2024

 

Número de documento: EXP202307021

Fecha de documento: 22/08/2024

 

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

ANTECEDENTES 

 

PRIMERO: La Agencia Española de Protección de Datos ha tenido conocimiento a través de reclamación presentada por el SINDICATO UNIÓN DE POLICÍA MUNICIPAL, con NIF ***NIF.1 (en adelante, reclamante 1) de fecha 10/04/2023, de ciertos hechos que podrían vulnerar la legislación en materia de protección de datos.

Asimismo, con fecha 08/08/2023 presentó reclamación ante la AEPD D. A.A.A., con DNI ***NIF.2 (en adelante, reclamante 2) de contenido similar a la anterior solicitando se le tenga por personado en el presente procedimiento.

Con fecha 10/04/2023 la Directora de la AEPD instó a la Subdirección General de Inspección de Datos (SGID) a iniciar las actuaciones previas de investigación a las que se refiere el artículo 67 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) para investigar al AYUNTAMIENTO DE MADRID con NIF P********* (en adelante, parte reclamada) en relación con los siguientes hechos:

La parte reclamante manifiesta que en las diferentes unidades y dependencias del Cuerpo de Policía Municipal del reclamado se han realizado durante el mes de enero de 2023 simulacros de incendios por la empresa Abantis, Consultoría y Asesoría, S.L. (en lo sucesivo ACA).

El 25/01/2023, durante la ejecución del simulacro en la Unidad Integral de Distrito de Usera de Policía Municipal, el personal policial tuvo que utilizar el documento denominado Plan de Emergencias que se encuentra en el cajetín rojo con el rótulo: PLAN DE AUTOPROTECCIÓN/MEDIDAS DE EMERGENCIA/USO EXCLUSIVO DE BOMBEROS. Actualmente, en el interior del cajetín constan dos documentos: uno, con fecha junio 2019, y otro, con fecha octubre 2022. En el interior de los citados Planes de Emergencias (concretamente en el denominado Anexo I. DIRECTORIO DE COMUNICACIÓN), se comprobó que constaban los datos personales y los números de los teléfonos móviles particulares de cada uno de los funcionarios policiales, cuando estos datos telefónicos nunca habían sido aportados por los policías afectados para estos fines, ni conocían que la entidad reclamada los había facilitado a la empresa ACA para elaborar el citado Plan de Emergencias.

Por otro lado, la parte reclamante afirma que ha comprobado que en otras unidades policiales el dato telefónico aportado por la misma Dirección General para todos los policías identificados corresponde al fijo de la Unidad. Es más, el propio número de teléfono que aporta el Director General, no es el de su número móvil particular, sino, también, el fijo de sus dependencias.

Además, la parte reclamante hace constar que en la citada lista denominada DIRECTORIO DE COMUNICACIÓN de los Planes de Emergencias, algunos de los empleados policiales de la UID de Usera que se encuentran reseñados ya están jubilados, otros ya han cambiado de Unidad y otros están en situación de incapacidad temporal por padecer una enfermedad.

El reclamante 1 ha interpuesto queja por estos hechos ante la reclamada en fecha 13/02/2023, no habiendo recibido repuesta. En dicha queja se solicita el cese de la utilización de los números de teléfonos móviles de los policías y su comunicación a la empresa ACA, la revisión de todos los planes de emergencia del resto de unidades o dependencias de la policía municipal respecto a la utilización de teléfonos móviles particulares, notificar a la AEP la brecha de seguridad y el bloqueo de los números de los móviles particulares hasta que se compruebe que se han utilizado en el plan de emergencias adoptando medidas organizativas que impidan su visualización y se notifique a los afectados en el caso de que no se bloqueen los citados datos.

Junto a la notificación se aporta:

Copia de la Instancia general con la denuncia dirigida a la Dirección General de Policía Municipal del reclamado, con fecha 13/02/2023.

Copia de los dos ejemplares del Plan de Emergencias de la Unidad Integral de Distrito de Usera.

- Ejemplar 1º copia del Plan de Emergencias U.I.D. Usera de junio 2019.

- Ejemplar 2º copia del Plan de Emergencias U.I.D. Usera de octubre 2022.

Copia del Plan de Emergencia de la Unidades Integral de Distrito de Villa de Vallecas de la Policía Municipal de Madrid.

Copia del Plan de Emergencia de la Unidades Integral de Distrito de Arganzuela de la Policía Municipal de Madrid.

Resolución de Procedimiento Sancionador PS/00480/2021 (exp. 202100091) de la Agencia Española de Protección de Datos.

SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos:

El 05/07/2023 la parte reclamada dio respuesta al requerimiento realizado por la AEPD el 21/06/2023, señalando que una vez que ha tenido conocimiento de los hechos, ha procedido de manera simultánea a:

“Requerir a los responsables de las diferentes dependencias para que procedan a retirar los Planes de Autoprotección y documentación complementaria de los respectivos cajetines y los custodien en tanto que se realiza su revisión para retirar los posibles datos personales.

1. Consultar sobre la supuesta brecha de seguridad a la Oficina de Protección de Datos del Ayuntamiento de Madrid, trasladando ésta que no se trata de una brecha de seguridad, requiriendo documentación ampliatoria para realizar una mejor valoración.

1. Solicitar a la Subdirección General Económico-Administrativa, encargada de la contratación del servicio para que requiera a la empresa que desarrolla esos Planes, al objeto de que proceda a la destrucción de los datos personales que pudieran haber sido tratados por error involuntario.

1. Adjunta Memoria justificativa del contrato menor y el informe de propuesta de adjudicación de contrato menor de servicios a la empresa ABANTIS.

2. Debido al tratamiento indebido que se ha realizado por la cesión de dicho documento a la UPM se traslada lo acontecido, a la Comisaría General de Régimen Interior, para la apertura del correspondiente expediente informativo al objeto de determinar las posibles responsabilidades disciplinarias que hubiera lugar.

3. Como consecuencia de la revisión de los Planes se detecta que existe un listado de similares características en la Comisaría Integral de Distrito Centro Sur, además del existente en la Comisaría Integral de Distrito Usera, solicitando a los Comisarios/as de dichas dependencias la eliminación de estos, procediendo los mismos a lo indicado.

4. Pese a que los datos contenidos en este documento no revisten un riesgo para las personas afectadas, se ha optado por eliminar los mismos en los planes de autoprotección para evitar que se vuelva a hacer un uso indebido como en este caso, en el que se ha trasladado a la UPM un documento interno, sin que esta cuente con legitimación para su tratamiento y tampoco acredite la eliminación de los mismos, ni ofrezca información sobre el registro de actividad de tratamiento.

5. Con fecha 24 de abril de 2023, se remite un escrito a la UPM, del Director General de la Policía Municipal, en el que se informa de las medidas adoptadas, se adjunta Anexo V.

CONSIDERACIONES:

La elaboración del Plan de autoprotección se realiza conforme al Decreto 393/2007, de 23 de marzo, por el que se aprueba la Norma Básica de Autoprotección de los centros, establecimientos y dependencias dedicados a actividades que puedan dar origen a situaciones de emergencia. En el mismo se determina que el contenido del Plan se recogerá en un documento único cuya estructura y contenido mínimo se recoge en su anexo II. A este respecto en el punto 6.3 del citado anexo, se requiere la Información de Firmantes del Documento identificación y funciones de las personas y equipos que llevarán a cabo los procedimientos de actuación ante emergencias, así como un “Directorio de comunicación” que contendrá los teléfonos del personal de emergencias contemplado dentro de este anexo de “Contenido mínimo del plan de autoprotección”, del mismo texto legal.

Este Plan se encuentra ubicado en un cajetín dentro de las Comisarías, junto al personal de vigilancia del edificio, a disposición del personal o servicios de emergencias ante la producción de un eventual riesgo.

Como se indica en la memoria del contrato menor la empresa adjudicataria debe realizar una charla de formación y la realización de un primer simulacro de emergencia adaptado al plan de autoprotección. Esta formación se imparte al personal que se ofrece voluntario para participar y formar parte del grupo de emergencias.

Para una adecuada coordinación entre los miembros que componen ese grupo de emergencias, las Comisarías Integrales de Distrito de Usera y Centro Sur cumplimentaron “motu proprio” un directorio de comunicación con los datos personales de los agentes con responsabilidad en la emergencia, y por error lo incluyeron en el Plan que se remitió a ABANTIS. Entre los datos que figuran se encuentra el teléfono personal de los agentes que, en los casos de mandos intermedios corresponde con el teléfono corporativo.

De las 20 Comisarías Integrales de Distrito detalladas en la memoria del contrato menor, donde se realiza el servicio de actualización e implantación del Plan, además de las restantes comisarías, solo se ha detectado ese error en las dos dependencias indicadas, por lo que estamos ante una situación puntual.

Sobre el requerimiento de borrado de datos personales realizado a ABANTIS, empresa adjudicataria de la elaboración de los planes, se ha recibido una declaración responsable de la destrucción de los datos personales. El tratamiento realizado por esa empresa consiste conforme a la solicitud de oferta en la recopilación de la información para su impresión y puesta a disposición de las Comisarías Integrales de Distrito, así como simulacro adaptado al documento de implantación, por lo que no se considera que ha existido una exposición que pueda afectar a los derechos de los interesados, y la relevancia de los datos facilitados. Se adjunta declaraciones responsables de destrucción de datos personales como Anexo VI.

Igualmente, esta Jefatura Superior no tiene conocimiento del ejercicio de derechos personales realizado por ningún componente de la Comisaría Integral de Distrito de Usera en relación con el Plan, en contraposición a las quejas de los/as policías manifestada por la UPM en el punto 5 de su exposición, que de otra parte, contrasta con el carácter voluntario del personal que conforma el grupo de emergencias en las dependencias policiales.

Los datos personales se encuentran recogidos en el registro de actividad de “Personal Policía Municipal”, se adjunta como Anexo VII, publicado en la página del Ayuntamiento de Madrid www.madrid.es, y han sido necesarios para cumplir con lo establecido en el Decreto 393/2007, sin perjuicio de la comunicación accidental de los datos a ABANTIS del anexo denominado “Directorio de comunicaciones”.

TERCERO: Con fecha 11/10/2023, la Directora de la AEPD acordó iniciar procedimiento sancionador al reclamado por la presunta infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5.a) del citado RGPD.

CUARTO: Notificado el acuerdo de inicio la parte reclamada, con fecha 30/10/2023 presentó escrito de alegaciones en el que manifestaba: que el tratamiento del número telefónico particular no es generalizado, solo se ha detectado la existencia de esos datos en la CID de Usera y la CID de Centro Sur, quedando subsanado con la supresión de datos por la empresa ABANTIS como en las propias CID; que fue por iniciativa propia que los participantes consideraron que debían facilitar su teléfono particular para poder coordinar la actuación en caso de activación de la emergencia y que respecto a la reclamación del reclamante 2 indican la falta de transparencia que motiva su pretensión, no teniendo constancia de la oposición al tratamiento de su número de teléfono particular

QUINTO: Con fecha 20/05/2024, se acordó la apertura de un período de práctica de pruebas, acordándose las siguientes:

- Dar por reproducidos a efectos probatorios las reclamaciones interpuestas y su documentación, los documentos obtenidos y generados que forman parte del procedimiento.

- Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio del procedimiento sancionador referenciado, presentadas por el reclamado, y la documentación que a ellas acompaña.

SEXTO: Con fecha 06/09/2023 fue emitida Propuesta de Resolución en el sentido de que por la Directora de la AEPD se declare que la parte reclamada ha infringido lo dispuesto en el artículo 6.1 del RGPD, tipificada en el artículo 83.5.a) del RGPD.

Notificada la citada Propuesta, la parte reclamada en fecha 28/06/2024 presento escrito de alegaciones manifestando, en síntesis: que los poderes públicos tienen la obligación de garantizar el derecho constitucional como es la integridad física de la ciudadanía, destinando para este fin medidas de control de riesgos y prevención de situaciones que pudieran surgir; que la Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil y a su amparo se dicta el R.D. 393/2007 por el que se aprueba la Norma Básica de Autoprotección de los centros, establecimientos y dependencias dedicados a actividades que puedan dar origen a situaciones de emergencia; para la implantación de este modelo de protección se se requiere la gestión de los datos personales entre los que se incluye los telefónicos; el uso del teléfono, se constituye como un canal de comunicación necesario, conforme al principio de coordinación establecido en la ley y el R.D. de desarrollo; que en el RD en su Anexo II de “Contenido mínimo del plan de autoprotección” contiene a su vez un Anexo I “Directorio de Comunicación”, que requiere ese dato en su apartado “Teléfonos del Personal de emergencia” y que no todo el personal de emergencia cuenta con un dispositivo telefónico corporativo, por lo que hacen uso de sus medios particulares, lo cual refuerza la voluntariedad y predisposición de este personal; que el tratamiento del dato telefónico de los agentes se encuentra legitimado por ser necesario para dar cumplimiento a una obligación legal exigible al responsable del tratamiento, además, del cumplimiento de una misión realizada en interés público, sin el cual no se podría llevar a buen término los preceptos legales expresados.

SEPTIMO: De las actuaciones practicadas en el presente procedimiento, han quedado acreditados los siguientes:

HECHOS PROBADOS 

 

PRIMERO. El 10/04/2023 tiene entrada en la Agencia Española de Protección de Datos escrito del reclamante 1, de fecha 10/04/2023, comunicando hechos que podrían vulnerar la legislación en materia de protección de datos. Asimismo, con fecha 08/08/2023 presentó escrito reclamante 2, de contenido similar al anterior solicitando se le tenga por personado en el presente procedimiento.

En los escritos se pone de manifiesto que:” (…)

2.- El día 25 de enero de 2023, durante la ejecución del simulacro en la Unidad Integral de Distrito de Usera de Policía Municipal, el personal policial tuvo que utilizar el documento denominado “Plan de Emergencias” que se encuentra en el cajetín rojo con el rótulo: “PLAN DE AUTOPROTECCIÓN/MEDIDAS DE EMERGENCIA/USO EXCLUSIVO DE BOMBEROS”. Actualmente, constan dos documentos: uno, con fecha junio 2019 (IMAGEN-1), y otro, con fecha octubre 2022 (IMAGEN-2).

3.- En el interior de los citados Planes de Emergencias (concretamente en el denominado “Anexo I. DIRECTORIO DE COMUNICACIÓN”), se comprobó que constaban los datos personales y los números de los teléfonos móviles particulares de cada uno de los funcionarios policiales, cuando estos datos telefónicos nunca habían sido aportados por los Policías afectados para estos fines, ni conocían que la Administración policial los había cedido a la empresa Abantis, Consultoría y Asesoría, SL. para elaborar el citado Plan de Emergencias.

4.- Dichos datos telefónicos fueron facilitados por la Dirección General de Policía Municipal a la señalada empresa, pues en los documentos figura la Dirección General como responsable de la implantación del Plan y se asegura en su texto que “Siguiendo indicación de la Dirección General de Policía Municipal, no se han producido modificación de este Anexo respecto al Plan de Emergencia de junio de 2019, salvo en el apartado A.I.1”. Comprobando que este apartado (A.I.1) contienen los nombres, apellidos y los números de los teléfonos móviles de los empleados policiales.

5.- Por estos motivos, esta organización sindical ha recibido varias quejas de los policías afectados, al considerar que la utilización y cesión de sus datos telefónicos vulnera la actual legislación en la privacidad de los datos personales.

6.- Por otro lado, esta organización sindical ha comprobado que en otras Unidades policiales el dato telefónico aportado por la misma Dirección General para todos los Policías identificados corresponde al fijo de la Unidad. Es más, el propio número de teléfono que aporta el Director General, no es el de su número móvil particular, sino, también, el fijo de sus dependencias. Así las cosas, no se llega a entender por qué para los empleados policiales de la UID de Usera se ha utilizado y cedido los números de los teléfonos móviles particulares.

7.- Se hace constar que en la citada lista denominada “DIRECTORIO DE COMUNICACIÓN” de los Planes de Emergencias, algunos de los empleados policiales de la UID de Usera que se encuentran reseñados ya están jubilados, otros ya han cambiado de Unidad y otros están en situación de incapacidad temporal por padecer una enfermedad.

(…)”

SEGUNDO. El reclamante 1 había presentado escrito de reclamación ante la parte reclamada en fecha 13/02/2023, poniendo en conocimiento de la misma hechos reclamados ante la AEPD.

TERCERO. Asimismo, consta aportado escrito con la respuesta de la parte reclamada, de fecha 24/04/2023, a la reclamación interpuesta por la parte reclamante.

CUARTO. Consta aportado Plan de Emergencia Unidad Integral Distrito de Usera. En el Anexo I, apartado A.I.1 Teléfono de Personal de Emergencias figuran los teléfonos móviles de los agentes que aparecen relacionados en el listado.

QUINTO. Consta correo electrónico de fecha 16/02/2023, remitido por la parte reclamada, asunto: Planes de Emergencia de las dependencias, a los responsables de estas últimas en el que se señala:

“…, siguiendo indicaciones del (…), se traslada que con motivo de supervisar los Planes de Emergencias de las diferentes dependencias del Cuerpo, se solicita la retirada de la documentación íntegra que lo compone (Plan, anexos, fichas de actualización personal de emergencias, etc), así como su custodia por los destinatarios de este correo hasta que se realice la revisión de los mismos”.

Asimismo, figura correo electrónico remitido por la Subdirectora General de la Oficina de Protección de Datos, a AGPSyE - DGPM / Protección de Datos Personales en Policía M, en el que se indica:

“(…)

Si se han cedido datos personales a la empresa adjudicataria del servicio de referencia, esto se ha realizado sin cobertura legal, ni contractual, por lo que se recomienda que, tal y como se ha procedido, la empresa realice el borrado seguro de todos los datos personales que se le hayan facilitado, y que aporten un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado.

(…)”

SEXTO. Consta DECLARACIÓN RESPONSABLE DE DESTRUCCIÓN DE DATOS, de la empresa Abantis, Consultoría y Asesoría, S.L., en el que declara que: 

“En cumplimiento de la LOPDGDD, Abantis, Consultoría y Asesoría, S.L. ha eliminado de forma permanente los teléfonos móviles del Anexo I “Directorio de comunicación” del Plan de Emergencia, proporcionados por la Comisaría Integral del Distrito de Centro Sur como datos de contacto de los miembros del Equipo de Emergencia”.

SEPTIMO. Consta DECLARACIÓN RESPONSABLE DE DESTRUCCIÓN DE DATOS, de la empresa Abantis, Consultoría y Asesoría, S.L., en el que declara que:

“En cumplimiento de la LOPDGDD, Abantis, Consultoría y Asesoría, S.L. ha eliminado de forma permanente los teléfonos móviles del Anexo I “Directorio de comunicación” del Plan de Emergencia, proporcionados por la Comisaría Integral del Distrito de Usera como datos de contacto de los miembros del Equipo de Emergencia”.

OCTAVO. Figura aportada Memoria justificativa de contrato menor, solicitud de oferta y propuesta de adjudicación de servicio, que fue adjudicado a la empresa Abantis. 

NOVENO. Consta aportado el Registro de Actividad de Tratamiento.

FUNDAMENTOS DE DERECHO 

 

I Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Alegaciones a la Propuesta de Resolución

La parte reclamada en su escrito de alegaciones ha manifestado que los poderes públicos tienen la obligación, entre otras, de garantizar el derecho constitucional como es la integridad física de la ciudadanía, destinando para este fin medidas de control de riesgos y prevención de situaciones que pudieran surgir. En este sentido, la ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil (en lo sucesivo LSNPC), determina que los titulares de los centros, establecimientos y dependencias, públicos, que generen riesgo de emergencia, estarán obligados a adoptar las medidas de autoprotección.

Que a su amparo se dicta el Real Decreto 393/2007, de 23 de marzo, por el que se aprueba la Norma Básica de Autoprotección de los centros, establecimientos y dependencias dedicados a actividades que puedan dar origen a situaciones de emergencia, por ser este un documento esencial para dar respuesta a las posibles situaciones de emergencia en esta materia que se puedan producir en las diferentes dependencias policiales y que para su implantación se requiere la gestión de los datos personales entre los que se incluye los telefónicos que posteriormente se reflejan en el “Directorio de Comunicación”, determinado por ese real decreto; que en el R.D. en su Anexo II de “Contenido mínimo del plan de autoprotección” contiene a su vez un Anexo I “Directorio de Comunicación”, que requiere ese dato en su apartado “Teléfonos del Personal de emergencia”.

En primer lugar, es cierto como la LSNPC señala en su preámbulo que “Esta nueva ley se propone, pues, reforzar los mecanismos que potencien y mejoren el funcionamiento del sistema nacional de protección de los ciudadanos ante emergencias y catástrofes, que ya previó la ley anterior. Este sistema de protección civil se entiende como un instrumento de la seguridad pública, integrado en la política de Seguridad Nacional. Sistema que facilitará el ejercicio cooperativo, coordinado y eficiente de las competencias distribuidas por la doctrina constitucional entre las Administraciones Públicas, a la luz de las nuevas circunstancias y demandas sociales, al interconectar de manera abierta y flexible la pluralidad de servicios y actuaciones destinados al objetivo común.”

Por otra parte, hay que señalar que la LSNPC no ha sido complementada por la Norma Básica de Protección Civil, aprobada por el Real Decreto 407/1992, de 24 de abril, ni por la Norma Básica de Autoprotección, aprobada por el Real Decreto 393/2007, de 23 de marzo, pues como puede observarse son anteriores a la LSNPC; aunque si fueron complemento de aquella a la esta última venía a sustituir, es decir, la Ley 2/1985, de 21 de enero, de Protección Civil.

Al amparo de la LSNPC, se dictó el R.D. 524/2023, de 20 de Junio, por el que se aprueba la Norma Básica de Protección Civil, en cuya disposición derogatoria se señala que:

Disposición derogatoria única. Derogación normativa.

1. Queda derogada la Norma Básica de Protección Civil, aprobada por el Real Decreto 407/1992, de 24 de abril, así como el Real Decreto 1378/1985, de 1 de agosto , sobre medidas provisionales para la actuación en situaciones de emergencia en los casos de grave riesgo, catástrofe o calamidad pública, y cuantas disposiciones de igual o inferior rango se opongan, contradigan o resulten incompatibles con lo dispuesto en este real decreto.

2. Igualmente, se derogan:

(…)

d) La Norma Básica de Autoprotección de los centros, establecimientos y dependencias dedicados a actividades que puedan dar origen a situaciones de emergencia, aprobada por el Real Decreto 393/2007, de 23 de marzo.

(…)”

En segundo lugar, es cierto que el teléfono se considera un canal de comunicación necesario en determinadas circunstancias conforme al principio de coordinación establecido en la ley y el R.D. de desarrollo, pero en ningún caso figura y se recoge que el dato telefónico deba ser el número del móvil particular del agente.

No puede ser aceptado que el tratamiento del dato del teléfono móvil particular de los agentes se encuentre legitimado por ser necesario para dar cumplimiento a una obligación legal exigible al responsable del tratamiento, además, del cumplimiento de una misión realizada en interés público, porque ninguna norma lo recoge ni el interés público lo suscita.

El número de teléfono móvil es un dato más de carácter personal del agente y debe ser tratado con la misma confidencialidad que el resto de sus datos de carácter personal.

Hay que señalar que lo que es muy importante para el Plan de Emergencia Unidad Integral Distrito de Usera y Centro Sur, Anexo I, apartado A.I.1 Teléfono de Personal de Emergencias figuran los teléfonos móviles de los agentes que aparecen relacionados en el listado, no suscitando ese interés en el Plan de Emergencia Unidad Integral Distrito de Vallecas, de contenido similar al elaborado para el distrito de Usera y Centro Sur, en cuyo Anexo I, apartado A.I.1 Teléfono de Personal de Emergencias figuran al contrario que en los anteriores, los teléfonos corporativos y no los móviles particulares de los agentes que aparecen relacionados en el listado.

Por todo ello, las alegaciones formuladas por la parte reclamada no pueden ser aceptadas.

III Obligación incumplida: infracción del artículo 6.1 RGPD

Los hechos puestos de manifiesto vienen materializados en la acreditación a raíz de la práctica de un simulacro de incendios, en el denominado Plan de Emergencias, constaban los datos personales junto a los números de los teléfonos móviles particulares de cada uno de los funcionarios policiales, datos estos últimos que no han sido aportados ni autorizados por los mismos, lo que podría suponer la vulneración de la normativa en materia de protección de datos personales.

Este tratamiento podría ser constitutivo de una infracción del artículo 6.1 del RGPD, Licitud del tratamiento, que dispone:

“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones”.

También el Considerando 40 del mencionado RGPD, dispone que «Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o a la necesidad de ejecutar un contrato con el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.»

Por otra parte, el artículo 4 del RGPD, Definiciones, en sus apartados 1, 2 y 11, señala que:

“1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

“2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

“11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

El tratamiento de datos de carácter personal requiere la existencia de una base legal que lo legitime.

De conformidad con el artículo 6.1 del RGPD, además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular, en particular, cuando sea necesario para la ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del afectado que requieran la protección de tales datos. El tratamiento también se considera lícito cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del afectado o de otra persona física o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

El reclamante 1 ha manifestado que: “(…) El día 25 de enero de 2023, durante la ejecución del simulacro en la Unidad Integral de Distrito de Usera de Policía Municipal, el personal policial tuvo que utilizar el documento denominado “Plan de Emergencias” que se encuentra en el cajetín rojo con el rótulo: “PLAN DE AUTOPROTECCIÓN/MEDIDAS DE EMERGENCIA/USO EXCLUSIVO DE BOMBEROS”.

3.- En el interior de los citados Planes de Emergencias (concretamente en el denominado “Anexo I. DIRECTORIO DE COMUNICACIÓN”), se comprobó que constaban los datos personales y los números de los teléfonos móviles particulares de cada uno de los funcionarios policiales, cuando estos datos telefónicos nunca habían sido aportados por los Policías afectados para estos fines, ni conocían que la Administración policial los había cedido a la empresa Abantis, Consultoría y Asesoría, SL. para elaborar el citado Plan de Emergencias.

4.- Dichos datos telefónicos fueron facilitados por la Dirección General de Policía Municipal a la señalada empresa, pues en los documentos figura la Dirección General como responsable de la implantación del Plan y se asegura en su texto que “Siguiendo indicación de la Dirección General de Policía Municipal, no se han producido modificación de este Anexo respecto al Plan de Emergencia de junio de 2019, salvo en el apartado A.I.1”. Comprobando que este apartado (A.I.1) contienen los nombres, apellidos y los números de los teléfonos móviles de los empleados policiales.

5.- Por estos motivos, esta organización sindical ha recibido varias quejas de los policías afectados, al considerar que la utilización y cesión de sus datos telefónicos vulnera la actual legislación en la privacidad de los datos personales.

(…)”

En el Plan de Emergencias del Distrito de Usera figura en el apartado A.I.1 Teléfono de Personal de Emergencias, de su ANEXO I, los teléfonos móviles particulares de los agentes que aparecen relacionados en el listado.

La parte reclamada en el escrito de fecha 05/07/2023 en respuesta al requerimiento informativo de la AEPD, tal y como se recoge en el Antecedente Segundo, señalaba que:

“(…)

Para una adecuada coordinación entre los miembros que componen ese grupo de emergencias, las CID de Usera y Centro Sur cumplimentaron de mutuo propio un directorio de comunicación con los datos personales de los agentes con responsabilidad en la emergencia, y por error lo incluyeron en el Plan que se remitió a ABANTIS. Entre los datos que figuran se encuentra el teléfono personal de los agentes…

De las 20 CID detalladas en la memoria del contrato menor, donde se realiza el servicio de actualización e implantación del Plan, además de las restantes comisarías, solo se ha detectado ese error en las dos dependencias indicadas, por lo que estamos ante una situación puntual.

(…)”

Asimismo, en el citado escrito se indicaba que una vez que ha tenido conocimiento de los hechos, había procedido a: “Requerir a los responsables de las diferentes dependencias para que procedan a retirar los Planes de Autoprotección y documentación complementaria de los respectivos cajetines y los custodien en tanto que se realiza su revisión para retirar los posibles datos personales.

(…)

“2. Solicitar a la Subdirección General Económico-Administrativa, encargada de la contratación del servicio para que requiera a la empresa que desarrolla esos Planes, al objeto de que proceda a la destrucción de los datos personales que pudieran haber sido tratados por error involuntario”.

En este mismo sentido, figura correo electrónico de 16/02/2023, remitido por la Subdirectora General de la Oficina de Protección de Datos, en el que se contiene lo siguiente:

“(…)

Si se han cedido datos personales a la empresa adjudicataria del servicio de referencia, esto se ha realizado sin cobertura legal, ni contractual, por lo que se recomienda que, tal y como se ha procedido, la empresa realice el borrado seguro de todos los datos personales que se le hayan facilitado, y que aporten un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado.

(…)” (los subrayados corresponden a la AEP).

Y en conexión con lo anterior la empresa adjudicataria del servicio procedió a la eliminación de los teléfonos móviles del Anexo I “Directorio de comunicación” del Plan de Emergencia, proporcionados por la Comisaría Integral del Distrito de Centro Sur como del Distrito de Usera.

El reclamante 1 ha aportado Plan de Emergencia Unidad Integral Distrito de Vallecas, de contenido similar al elaborado para el distrito de Usera y Centro Sur. En el Anexo I, apartado A.I.1 Teléfono de Personal de Emergencias figuran, al contrario que en los CID citados en el párrafo anterior, los teléfonos corporativos y no los móviles particulares de cada uno de los agentes que aparecen relacionados en el listado.

Por tanto, en consideración a lo que antecede se considera que la conducta del reclamado vulnera el principio de licitud consagrado en el artículo 6.1 del RGPD, infracción tipificada en el artículo 83.5 a) del RGPD.

IV Tipificación de la infracción del artículo 6.1 del RGPD

El artículo 83.5 a) del RGPD, considera que la infracción de “los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9” es sancionable. .

Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que: “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.

También la LOPDGDD, a efectos de prescripción, en su artículo 72 indica: “Infracciones consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

(…)

b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.

(…)”

V Régimen aplicable al responsable del tratamiento

El artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD en su apartado 7 establece: “Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”

La LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(…)

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. (…)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica”.

En el caso examinado, el presente procedimiento sancionador trae causa, tal y como se expone en los hechos, por la vulneración por la parte reclamada de la normativa en materia de protección de datos de carácter personal en lo relativo a la licitud del tratamiento.

De conformidad con las evidencias de las que se dispone dicha conducta constituye, por parte del reclamado la infracción a lo dispuesto en el artículo 6.1 del RGPD.

Hay que señalar que el RGPD, sin perjuicio de lo establecido en su artículo 83, contempla en su artículo 77 la posibilidad de declarar la infracción y establecer las medidas que procedan para corregir los tratamientos de datos personales que no se adecúen a sus previsiones, cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica.

VI Adopción de medidas

En el presente caso, no procede imponer la adopción de medidas al haberse eliminado los datos incluidos en los Planes de Emergencia Unidad Integral de los Distritos afectados, objeto de las actuaciones e investigaciones de este procedimiento, tanto por el Ayuntamiento como por la empresa adjudicataria del servicio.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos:

RESUELVE 

 

PRIMERO: DECLARAR que el AYUNTAMIENTO DE MADRID, con NIF P*********, ha infringido lo dispuesto en el artículo 6.1 del RGPD, infracción tipificada en el artículo 83.5.a) del RGPD.

SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE MADRID.

TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos