Infracción de la LOPD por no anonimizar los datos personales de ciudadano que formuló alegaciones


AEPD 03/10/2024

Se presenta reclamación por parte de un particular contra un ayuntamiento por una presunta infracción del RGPD y la LOPDGDD ya que su nombre, apellidos y NIF figuraban en el acta de la sesión de un pleno del consistorio, al haber presentado alegaciones a distintos expedientes de exposición pública y ello a pesar de haberse opuesto a dicha publicación.

Por tal motivo la AEPD imputa al ayuntamiento, por un lado, la vulneración del art. 5.1.c) del RGPD, que establece el principio de minimización de datos, al publicar datos personales (nombre, apellidos y NIF) en las actas de pleno sin que fuera necesario y, por otro lado, la vulneración del art. 32 RGPD relativo a la seguridad del tratamiento, al no adoptar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, ya que las medidas de anonimización empleadas no cumplían con su finalidad.

Siendo así, la AEPD ordena al ayuntamiento adoptar las medidas adecuadas para ajustar su actuación a la normativa de protección de datos, específicamente para anonimizar los datos personales en las actas de pleno y garantizar que los tratamientos de datos personales respeten los reseñados arts. 5.1.c) y 32 del RGPD.

En caso de no atender dicha orden, la AEPD advierte al ayuntamiento que el hecho podría ser considerado como una infracción administrativa adicional, lo que podría motivar la apertura de un nuevo procedimiento administrativo sancionador.

Agencia Española de Protección de Datos, Resolución, 3-10-2024

 

Número de documento: EXP202313299

Fecha de documento: 03/10/2024

Artículo infringido: Artículo 32 del RGPD

 

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

ANTECEDENTES 

 

PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 18 de agosto de 2023 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE JEREZ DE LOS CABALLEROS con NIF P********* (en adelante, la parte reclamada o el Ayuntamiento).

Los motivos en que basa la reclamación son los siguientes:

El 08/03/22 la parte reclamante presentó una reclamación ante el Ayuntamiento de Jerez de los Caballeros por una presunta infracción del RGPD y la LOPDGDD. Su nombre completo y dos apellidos figuraban, junto con su Número de Identificación Fiscal (NIF), en más de 20 ocasiones en el Acta de la sesión de Pleno celebrada el 08/03/21, al haber presentado alegaciones a distintos expedientes de exposición pública. Asimismo, figuraban 14 referencias a su primer apellido.

El 22/03/22 el Delegado de Protección de Datos emitió un informe en el que recomendaba al Ayuntamiento de Jerez de los Caballeros adoptar una serie de medidas para adaptar el contenido de la mencionada acta al RGPD (anonimización del nombre y apellidos del interesado y publicación del número de DNI de acuerdo con las instrucciones establecidas por la AEPD).

El 22/03/2022 la Alcaldía dictó una resolución en la que resolvía: "Reconocer el derecho de oposición al tratamiento de datos de carácter personal solicitado y detener inmediatamente el tratamiento de los datos en el acta del pleno de 8 de marzo de 2021, procediendo al tratamiento correcto de los datos del interesado y volviendo a publicar el acta con la anonimización correspondiente, tal y como se indica en el informe del Delegado de Protección de Datos".

La parte reclamante manifiesta que el fichero pdf publicado en la página web de la parte reclamada fue modificado el 01/07/22. No obstante, el documento no se ha anonimizado correctamente, ya que se siguen visualizando su nombre y sus apellidos. A su vez, destaca que el NIF aparece marcado temporalmente con un rectángulo negro. Una vez descargado el documento y abierto con un simple lector de documentos PDF, permite seleccionar y copiar el texto marcado en negro y al pegar aparece su número completo de NIF. Activando la edición y marcando suprimir sobre el rectángulo negro, el mismo desaparece en todas las ocasiones.

Según afirma, no se ha cumplido con su derecho de oposición ya que el acta continúa publicada sin anonimizar. A su vez, destaca que si utilizas el Código Seguro de Verificación (CSV) del documento desde la página web del Ayuntamiento / Sede electrónica / Validación de Documentos, se obtiene el acta original, sin ningún tipo de anonimización.

Junto a la reclamación aporta los siguientes documentos:

• El informe emitido por el Delegado de Protección de Datos de fecha 22 de marzo de 2022.

• La notificación de la Resolución adoptada por la Alcaldía-Presidencia del Ayuntamiento por la que se reconocía el derecho de oposición al tratamiento de datos de carácter personal solicitado por el reclamante, ordenando detener el tratamiento del acta del pleno de 8 de marzo de 2021, procediendo al tratamiento correcto de los datos del reclamante y volviendo a publicar el acta con la anonimización correspondiente, tal y como se indicaba en el informe del Delegado de Protección de Datos.

• Orientación para la aplicación provisional de la disposición adicional séptima de la LOPDGDD elaborada por la AEPD.

• El Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021, publicada en la Sede Electrónica del Ayuntamiento en el momento de presentar la reclamación. En dicha acta son visibles el nombre y apellidos del reclamante. El Número de Identificación Fiscal (NIF) está oculto con una figura con forma rectangular de color negro. No obstante, para eliminar dicha forma rectangular, basta con pulsar con el cursor sobre la misma.

• El acta accesible a través del CSV. El acta a la que se accede no está anonimizada y son visibles, tanto el nombre y apellidos, como el NIF del reclamante.

Posteriormente, el 14 de febrero de 2024 la parte reclamante interpuso una nueva reclamación contra el AYUNTAMIENTO DE JEREZ DE LOS CABALLEROS, relativa a la publicación del nombre y apellidos del reclamante en el Acta de la sesión ordinaria del Pleno celebrada el día 30 de noviembre de 2023.

Con fecha 20 de mayo de 2024 la parte reclamante presentó un nuevo escrito ante la AEPD en el que invocaba lo dispuesto en el artículo 64.1 de la LOPDGDD, solicitando que se estimara la reclamación formulada contra el Ayuntamiento de Jerez de los Caballeros el 18 de agosto de 2023 y que se instase a dicho Ayuntamiento a atender el derecho de oposición ejercido.

El día 3 de junio de 2024 la parte reclamante interpuso una nueva reclamación contra el AYUNTAMIENTO DE JEREZ DE LOS CABALLEROS. En la misma, indicaba que el 29 de diciembre de 2023 había ejercido el derecho de oposición frente al citado Ayuntamiento con motivo de la publicación en su Sede Electrónica de dos actas del Pleno, relativas a las sesiones plenarias celebradas los días 20 de julio de 2023 y 28 de septiembre de 2023 en las que aparecían su nombre completo y los dos apellidos sin anonimizar. Transcurridos cinco meses desde su solicitud, el Ayuntamiento no había remitido contestación ni había atendido la solicitud.

SEGUNDO: La AEPD ha diligenciado con fecha 27 de septiembre de 2023 el Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo del año 2021, que figuraba en la Sede Electrónica del Ayuntamiento de Jerez de los Caballeros, descargando su contenido.

TERCERO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), el 2 de octubre de 2023 se dio traslado de dicha reclamación al Ayuntamiento de Jerez de los Caballeros, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), no fue recogido por el responsable; reiterándose el traslado en fecha 16 de octubre de 2023, accediendo el Ayuntamiento de Jerez de los Caballeros al contenido de la notificación el 26 de octubre de 2023.

No se ha recibido respuesta a este escrito de traslado.

CUARTO Con fecha 18 de noviembre de 2023, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

QUINTO: La AEPD ha diligenciado con fecha 19 de marzo de 2024 el Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 30 de noviembre del año 2023, que figuraba en el apartado de Transparencia de la Sede Electrónica del Ayuntamiento de Jerez de los Caballeros, descargando su contenido.

SEXTO: Con fecha 12 de junio de 2024 la AEPD ha diligenciado el contenido del portal de transparencia de la Sede Electrónica del Ayuntamiento de Jerez de los Caballeros.

En la diligencia se comprueba que están publicadas en dicho portal tanto el Acta de la sesión extraordinaria y urgente del Pleno de 20 de julio de 2023 como el Acta de la sesión ordinaria del Pleno de 28 de septiembre de 2023, a las que hace referencia la parte reclamante en el escrito presentado ante la AEPD el 3 de junio de 2024. En ambos casos, figura la expresión “Anonimizada” junto a las referidas actas.

Tanto en el Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 como en el Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 28 de septiembre del año 2023, descargadas desde la Sede Electrónica del Ayuntamiento, se pueden observar dos figuras rectangulares negras (en el primer caso) y una figura rectangular (en el segundo) que ocultan en nombre y los dos apellidos del reclamante. No obstante, si se copia el texto de dichas actas y posteriormente se pega en un documento, puede verse el contenido del acta sin anonimizar, siendo posible visualizar el nombre y los dos apellidos de la parte reclamante.

SÉPTIMO Con fecha 13 de junio de 2024, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, por:

- La presunta infracción del Artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a), y calificada como muy grave a efectos de prescripción en el artículo 72.1 a) de la LOPDGDD.

- La presunta infracción del Artículo 32 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 f) de la LOPDGDD.

OCTAVO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.

El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, las infracciones del RGPD atribuidas a la reclamada y las sanciones que podrían imponerse. Por ello, tomando en consideración que la parte reclamada no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS PROBADOS 

 

PRIMERO: La parte reclamante ejercitó su derecho de oposición en relación con sus datos personales publicados por el Ayuntamiento de Jerez de los Caballeros en el Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021. Asimismo, solicitó a dicho Ayuntamiento que no publicara en la página web del Ayuntamiento su nombre completo y dos apellidos cuando efectuara alegaciones a expedientes de exposición pública:

Así, el informe del Delegado de Protección de Datos del Ayuntamiento de Jerez de los Caballeros de 22 de marzo de 2022 señala:

“Con fecha de 8 de marzo de 2022, D. (…) presentó en el Registro General del Ayuntamiento de Jerez de los Caballeros escrito para el ejercicio del derecho de oposición en relación con sus datos personales publicados en el Acta de la sesión de Pleno celebrada el día 8 de marzo de 2021.” (subrayado de la AEPD).

Por otra parte, la parte reclamante remitió al Ayuntamiento de Jerez de los Caballeros, un escrito de fecha 18 de septiembre de 2023 denominado “Solicitud minimización de datos”, en el que, tras hacer referencia a la necesidad de respetar el principio de minimización de datos personales (artículo 5. 1 c) del RGPD), solicitaba lo siguiente:

“RUEGO:

Apelo al respeto de esta Alcaldía por la Participación Ciudadana en los asuntos públicos, derecho consagrado en la Constitución Española. Y si lo estima oportuno, le ruego que en lo sucesivo de orden de no publicar en el Boletín Oficial de la Provincia de Badajoz ni en la página web del Ayuntamiento, mi nombre completo y dos apellidos cuando considere oportuno efectuar alegaciones a los expedientes en exposición pública, ya que no existe una obligación legal de hacerlo, podría constituir una infracción del RGPD hacerlo y la resolución del Delegado de Protección de Datos del Ayuntamiento es de no publicarlos.” (subrayado de la AEPD).

SEGUNDO: El Delegado de Protección de Datos (DPD) del Ayuntamiento de Jerez de los Caballeros comprobó que en el Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021 figuraban el nombre y apellidos del reclamante, así como el número completo del NIF, recomendando a dicho Ayuntamiento anonimizar el nombre y apellidos de la parte reclamante, de tal manera que no pudiera reconocerse su identidad.

En este sentido, el informe del Delegado de Protección de Datos del Ayuntamiento de Jerez de los Caballeros de 22 de marzo de 2022 indica:

“Con fecha de 8 de marzo de 2022, D. (…) presentó en el Registro General del Ayuntamiento de Jerez de los Caballeros escrito para el ejercicio del derecho de oposición en relación con sus datos personales publicados en el Acta de la sesión de Pleno celebrada el día 8 de marzo de 2021.

Una vez que se comprueba por el Delegado de Protección de Datos (DPD) del Ayuntamiento de Jerez de los Caballeros que, en efecto, se encuentran recogidos en el Acta citada los datos personales relativos a nombre y apellidos del interesado, así como número completo del Documento Nacional de Identidad, se recomiendan al Ayuntamiento las siguientes medidas:

• Retirada del contenido del Acta en la forma recogida actualmente.

• Modificación de dicho contenido para adaptarlo al RGPD, adoptando las siguientes medidas:

a) Anonimización del nombre y apellidos del interesado, de tal manera que no pueda reconocerse su identidad.

b) Publicación de la numeración del DNI de acuerdo con las instrucciones formuladas por la Agencia Española de Protección de Datos (AEPD) que pueden consultarse en el siguiente enlace

***URL.1

Se ha comprobado por el DPD que por parte del Ayuntamiento se ha retirado el Acta y se corroborado que va a modificar la misma para su nueva publicación. (…)” (el subrayado es de la AEPD).

TERCERO: A pesar de la recomendación del Delegado de Protección de Datos (DPD) del Ayuntamiento de Jerez de los Caballeros reflejada en el hecho probado segundo, el Ayuntamiento de Jerez de los Caballeros ha publicado varias actas en las que figuran el nombre y apellidos de la parte reclamante y, en uno de los casos, su Número de Identificación Fiscal (NIF):

1. Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021:

En el expediente constan dos evidencias obtenidas por la AEPD el día 27 de septiembre de 2023, relativas al acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021.

En las evidencias se refleja que dicha acta es descargable. En la misma figuran el nombre y los dos apellidos de la parte reclamante en al menos 19 ocasiones, contiene numerosas referencias al Sr. A.A.A.. Asimismo, figuran quince rectángulos negros, que ocultan el NIF del reclamante (dichos rectángulos coinciden con los reflejados por la parte reclamante en su escrito de reclamación de fecha 18 de agosto de 2023).

Por último, en la referida acta se visualiza el CSV o Código Seguro de Verificación completo (la parte reclamante ha aportado, junto a su reclamación de 18 de agosto de 2023, el contenido íntegro del acta sin ningún tipo de anonimización accesible a través de dicho código CSV).

2. Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 30 de noviembre del año 2023:

En el expediente constan dos evidencias recabadas por la AEPD el día 19 de marzo de 2024. La primera, refleja que dicha acta estaba publicada en el apartado denominado “Transparencia” de la Sede Electrónica del Ayuntamiento de Jerez de los Caballeros.

La segunda, muestra que en dicha acta figuran en dos ocasiones el nombre completo y los dos apellidos de la parte reclamante (páginas 3 y 4), al hacer referencia a unas alegaciones formuladas por el mismo a una modificación presupuestaria, que iba a ser aprobada por dicho Pleno.

3. Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 y Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 28 de septiembre del año 2023:

En el expediente constan tres evidencias recabadas por la AEPD de 12 de junio de 2024.

En la primera evidencia se refleja que ambas actas estaban publicadas en la Sede Electrónica de dicho Ayuntamiento, junto con al título figura la palabra “Anonimizada”.

La evidencia relativa al Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 muestra que en la misma figura en dos ocasiones el nombre y los dos apellidos de la parte reclamante, ocultos tras unos rectángulos negros. No obstante, si se realiza una búsqueda en el documento introduciendo el nombre completo y los apellidos del reclamante, el buscador localiza el nombre en el documento en ambas ocasiones.

CUARTO: A pesar de las figuras rectangulares incluidas por el Ayuntamiento de Jerez de los Caballeros en varias actas al objeto de anonimizar su contenido, si se copia el texto de dichas actas y, posteriormente, se pega en otro documento, puede verse el contenido de las actas íntegro, sin anonimización.

Así se refleja en la tercera evidencia recabada por la AEPD el 12 de junio de 2023. La misma muestra que es posible copiar parte del contenido del Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 y pegarla en otro documento. De esta forma, desaparecen los dos rectángulos negros y se puede acceder al contenido íntegro, sin anonimizar. En dicho documento, ya sin rectángulos negros, se puede leer el nombre completo y los dos apellidos del reclamante.

La facilidad con la que pueden ser eliminados los rectángulos negros utilizados por el Ayuntamiento también ha sido reflejada por el reclamante en el escrito de reclamación de 18 de agosto de 2023, en el que figuran imágenes del contenido de actas eliminando los rectángulos negros.

FUNDAMENTOS DE DERECHO 

 

I Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Cuestiones previas

El Ayuntamiento de Jerez de los Caballeros, como cualquier otra entidad pública, está obligada al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -RGPD-, y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales -LOPDGDD- con respecto a los tratamientos de datos de carácter personal que realicen, entendiendo por dato de carácter personal, “toda información sobre una persona física identificada o identificable”.

Se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Asimismo, debe entenderse por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

El Ayuntamiento de Jerez de los Caballeros habría tratado los datos de carácter personal de la parte reclamante, en concreto, el nombre y apellidos y el Número de Identificación Fiscal (NIF).

El Ayuntamiento realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD:

“«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.”

III Infracción del artículo 5.1 c) del RGPD

El artículo 5.1.c) del RGPD, Principios relativos al tratamiento, señala lo siguiente:

“1. Los datos personales serán:

(…)

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);”

La parte reclamante ha presentando tres reclamaciones en relación con cuatro actas del Pleno del Ayuntamiento de Jerez de los Caballeros en las que figuran sus datos de carácter personal (nombre, apellidos y NIF, en el primer caso; nombre y apellidos, en el caso de tres actas relativas a sesiones plenarias celebradas en el año 2023).

En relación con esta cuestión, en el escrito de fecha 18 de septiembre de 2023 denominado “Solicitud de minimización de datos" dirigido por la parte reclamante al Alcalde del Ayuntamiento de Jerez de los Caballeros, aportado por el reclamante junto con la reclamación presentada el 14 de febrero de 2024, se indica:

“CUARTO. - Durante la pasada legislatura, tanto los gobernantes como los técnicos que redactan las resoluciones de estos, los certificados y las actas de Plenos incluían reiteradamente mis datos de carácter personal en las publicaciones de las actas de plenos y en los anuncios de los boletines oficiales. EL 08/08/2023 solicité a la Diputación Provincial de Badajoz la anonimización de mis datos personales de un anuncio BOP y dejar de ser indexado en las búsquedas de la página web del mismo.”

A continuación, se hace referencia a varios documentos que obran en este expediente:

1. Informe del Delegado de Protección de Datos (DPD) del Ayuntamiento de Jerez de los Caballeros de 22 de marzo de 2022 (hecho probado segundo):

El referido informe, aportado por la parte reclamante junto con su reclamación de 18 de agosto de 2023 como documento 1, indica lo siguiente:

“Con fecha de 8 de marzo de 2022, D. (…) presentó en el Registro General del Ayuntamiento de Jerez de los Caballeros escrito para el ejercicio del derecho de oposición en relación con sus datos personales publicados en el Acta de la sesión de Pleno celebrada el día 8 de marzo de 2021.

Una vez que se comprueba por el Delegado de Protección de Datos (DPD) del Ayuntamiento de Jerez de los Caballeros que, en efecto, se encuentran recogidos en el Acta citada los datos personales relativos a nombre y apellidos del interesado, así como número completo del Documento Nacional de Identidad, se recomiendan al Ayuntamiento las siguientes medidas:

• Retirada del contenido del Acta en la forma recogida actualmente.

• Modificación de dicho contenido para adaptarlo al RGPD, adoptando las siguientes medidas:

a) Anonimización del nombre y apellidos del interesado, de tal manera que no pueda reconocerse su identidad.

b) Publicación de la numeración del DNI de acuerdo con las instrucciones formuladas por la Agencia Española de Protección de Datos (AEPD) que pueden consultarse en el siguiente enlace:

***URL.1

Una vez que el Acta en cuestión se adapte a las recomendaciones aquí señaladas, podrá volver a ser publicada en la web del Ayuntamiento de Jerez de los Caballeros.

Se ha comprobado por el DPD que por parte del Ayuntamiento se ha retirado el Acta y se corroborado que va a modificar la misma para su nueva publicación. (…)” (el subrayado es de la AEPD).

2. Resolución de la Alcaldía-Presidencia del Ayuntamiento de Jerez de los Caballeros:

En el documento 1 aportado por la parte reclamante también figura una notificación de fecha 22 de marzo de 2023 de una resolución de la Alcaldía-Presidencia del Ayuntamiento de Jerez de los Caballeros con el siguiente contenido:

“Tengo a bien notificarle que en la Alcaldía-presidencia de este Ayuntamiento ha dictado la siguiente resolución que transcribo literalmente a continuación para su conocimiento, a la que adjunto respuesta del delegado de protección de datos para completar su petición:

“A la vista de la solicitud de oposición al tratamiento de datos personales presentada por: (…)

Visto el informe emitido por el Delegado de protección de datos de este Ayuntamiento en fecha 22 de marzo de 2022 y de conformidad con lo establecido en los artículos 12 y 21 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en los artículos 12 y 18 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos Personales y garantía de los derechos digitales y en el artículo 21.1.s) de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local,

RESUELVO

PRIMERO. Reconocer el derecho de oposición al tratamiento de datos de carácter personal solicitado y detener inmediatamente el tratamiento de los datos en el acta del pleno de 8 de marzo de 2021, procediendo al tratamiento correcto de los datos del interesado y volviendo a publicar el acta con la anonimización correspondiente, tal y como se indica en el informe del Delegado de Protección de Datos.

SEGUNDO. Notificar al interesado la resolución de acuerdo con lo establecido en el artículo 40 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.” (el subrayado es de la AEPD).

3. Reclamación de fecha 18 de agosto de 2023 relativa al contenido del acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo del año 2021, publicada tras la Resolución de la Alcaldía-Presidencia del Ayuntamiento de Jerez de los Caballeros notificada el 22 de marzo de 2022 y el informe del DPD del Ayuntamiento de la misma fecha:

La parte reclamante ha presentado una reclamación relativa al contenido del acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021, tal y como figuraba en la Sede Electrónica del Ayuntamiento de Jerez de los Caballeros en el momento en el que presentó su reclamación ante la AEPD (18 de agosto de 2023).

Asimismo, ha enviado el contenido de dicha acta, accesible a través del Código Seguro de Verificación (CSV), que figura en la misma.

3.1. Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo del año 2021, publicada en la Sede Electrónica del Ayuntamiento en el momento en el que se presentó la reclamación ante la AEPD:

En el acta (documento 2, aportado por la parte reclamante, junto con la reclamación de 18 de agosto de 2023) figura en al menos 19 ocasiones el nombre de la parte reclamada junto con sus dos apellidos (hecho probado tercero).

Asimismo, figura en numerosas ocasiones la expresión “Sr. A.A.A.”, haciendo referencia a las alegaciones presentadas por el mismo.

En la citada acta, se han utilizado quince figuras rectangulares negras para ocultar el DNI/NIF de la parte reclamante. No obstante, al pulsar con el cursor sobre la figura rectangular es visible el NIF de la parte reclamada, desapareciendo la figura rectangular que lo ocultaba.

En el expediente constan dos evidencias obtenidas por la AEPD el día 27 de septiembre de 2023, relativas al acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021.

En dichas evidencias, se observa la publicación de la mencionada acta en la Sede Electrónica del Ayuntamiento y que el documento es descargable. En la citada acta figuran el nombre y los dos apellidos del recurrente, así como quince rectángulos negros, que coinciden con los reflejados por el reclamante en su escrito de reclamación, que ocultan el NIF del reclamante (hecho probado tercero).

3.2. Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo del año 2021, accesible a través del CSV (Código Seguro de Verificación):

La parte reclamante ha presentado ante esta Agencia junto a su reclamación de 18 de agosto de 2023 un documento 3, que muestra el contenido del acta, al que se accede a través del Código Seguro de Verificación (CSV), que figura en la misma.

El acta, a la que se accede a través del citado código, es el acta original y no está anonimizada. Son visibles tanto el nombre y apellidos como el NIF del reclamante, no figuran las quince figuras rectangulares de color negro que ocultaban el NIF del reclamante.

4. Solicitud de minimización de datos remitida por la parte reclamante al Ayuntamiento de Jerez de los Caballeros el 18 de septiembre de 2023:

La parte reclamante remitió al Ayuntamiento de Jerez de los Caballeros, un escrito de fecha 18 de septiembre de 2023 denominado “Solicitud minimización de datos”, en el que, tras hacer referencia a la necesidad de respetar el principio de minimización de datos personales (artículo 5. 1 c) del RGPD), solicitaba lo siguiente (hecho probado primero):

“RUEGO:

Apelo al respeto de esta Alcaldía por la Participación Ciudadana en los asuntos públicos, derecho consagrado en la Constitución Española. Y si lo estima oportuno, le ruego que en lo sucesivo de orden de no publicar en el Boletín Oficial de la Provincia de Badajoz ni en la página web del Ayuntamiento, mi nombre completo y dos apellidos cuando considere oportuno efectuar alegaciones a los expedientes en exposición pública, ya que no existe una obligación legal de hacerlo, podría constituir una infracción del RGPD hacerlo y la resolución del Delegado de Protección de Datos del Ayuntamiento es de no publicarlos.”

5. Recomendaciones del Servicio de Transparencia, Participación Ciudadana, Calidad y Atención al ciudadano de la Diputación de Badajoz sobre el cumplimiento de la normativa de protección de datos en publicaciones de Acuerdos Plenarios y Resoluciones.

Entre los anexos del documento denominado “Solicitud de minimización de datos”, enviado por el reclamante al Ayuntamiento el 18 de septiembre de 2023, figuran unas recomendaciones del Servicio de Transparencia, Participación Ciudadana, Calidad y Atención al ciudadano de la Diputación de Badajoz sobre el cumplimiento de la normativa de protección de datos en publicaciones de Acuerdos Plenarios y Resoluciones. Dichas recomendaciones han sido elaboradas por el DPD de la Diputación de Badajoz, que es el DPD del Ayuntamiento de Jerez de los Caballeros.

A continuación, se transcribe parcialmente el contenido de las mismas.

“RECOMENDACIONES SOBE CUMPLIMIENTO DE PROTECCIÓN DE DATOS EN PUBLICACIONES DE ACUERDOS PLENARIOS Y RESOLUCIONES

En relación con la adecuación de las publicaciones de acuerdos plenarios, actas o resoluciones en Boletines Oficiales así como en los portales de transparencia, el Servicio de Transparencia, Participación Ciudadana, Calidad y Atención al Ciudadano, y a los efectos de evitar posibles actuaciones que pudieran suponer riesgos para el tratamiento de los datos o infracciones establecidas en la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (LODPGDD) se realizan las siguientes:

RECOMENDACIONES

1ª) En las actas de los Plenos que resuelvan solicitudes, recursos o cuestiones planteadas por ciudadanos, los datos personales de los mismos deben omitirse de la publicación, sin perjuicio de la notificación personal de las mencionadas resoluciones al interesado en la forma prevista en la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP).

(…)

3ª) La Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno establece una serie de obligaciones de publicidad activa a la que están sujetas las entidades y organismos incluidos en el ámbito de aplicación de la norma.

Sin embargo, de conformidad con su artículo 5.3z serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.

Por su parte, la Disposición Adicional Segunda de la LOPDGDD, relativa a “Protección de datos y transparencia y acceso a la información pública”, establece que la publicidad activa y el acceso a la información pública regulados por el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

Por tanto, el interés público en el acceso a la información no es ilimitado, encontrando un límite precisamente en la garantía de los derechos de los interesados cuyos datos personales puedan verse afectados.

La propia LTAIBG establece el sistema de protección de datos de carácter personal, señalando lo siguiente en su artículo 15:

“1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso. Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.

2. Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.

3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal. Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

a) El menor perjuicio a los afectados derivados del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.

b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.

c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.

d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

4.No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas.

5. La normativa de protección de datos personales será de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso.”

Las interpretaciones extensivas del citado artículo 15 de la LTAIBG ya fueron advertidas por el propio Consejo de Transparencia y Buen Gobierno (en adelante CTBG), el cual, en fecha 24 de junio de 2015, adoptó de manera conjunta con la Agencia Española de Protección de Datos el Criterio CI/002/2015 relativo a la interpretación de la aplicación de los límites al derecho de acceso a la información pública, en el cual, tras analizar los límites del artículo 15 de la LTAIBG establece unas etapas o fases sucesivas en el proceso de aplicación de dichos límites, concluyendo que su aplicación no será en ningún caso automática y que es necesaria una aplicación justificada y proporcional atendiendo a la circunstancia del caso concreto.

El proceso de aplicación de estas normas comprende las siguientes etapas o fases sucesivas:

Primero. Valorar si la información solicitada o sometida a publicidad activa contiene o no datos de carácter personal (entendiéndose por éstos los definidos en el artículo 4.1 RGPD)

Segundo. En caso afirmativo, valorar si los datos son o no datos que revelen la ideología, afiliación sindical, religión o creencias (en cuyo caso el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso) o hagan referencia al origen racial, a la salud y a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor (en cuyo caso el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley).

Tercero. Si los datos de carácter personal contenidos en la información no fueran datos de los mencionados en el apartado anterior, valorar si son o no exclusivamente datos meramente identificativos relacionados con la organización, el funcionamiento o la actividad pública del órgano o entidad correspondiente. En caso afirmativo, la información se publicará o facilitará con carácter general, salvo que en el caso concreto prevalezca la protección de datos personales y otros derechos constitucionalmente protegidos sobre el interés público en la divulgación

Cuarto. Si los datos de carácter personal no fueran meramente identificativos y relacionados con la organización, el funcionamiento o la actividad pública del órgano o no lo fueran exclusivamente, efectuar la ponderación prevista en el artículo 15. 3 de la Ley.

A estos efectos, el interés público aparece definido en la Exposición de Motivos de la LTAIBG que comienza recordando que “La transparencia, el acceso a la información pública y las normas de buen gobierno deben ser los ejes fundamentales de toda acción política. Sólo cuando la acción de los responsables públicos se somete a escrutinio, cuando los ciudadanos pueden conocer cómo se toman las decisiones que les afectan, cómo se manejan los fondos públicos o bajo qué criterios actúan nuestras instituciones podremos hablar del inicio de un proceso en el que los poderes públicos comienzan a responder a una sociedad que es crítica, exigente y que demanda participación de los poderes públicos”.

De este modo, la finalidad de las normas de transparencia según se expresa en la LTAIBG – que, en todo caso, debe armonizarse con el respeto a lo establecido por el RGPD y la LOPDGD- es la de permitir a las personas conocer los mecanismos que intervienen en los procesos de toma de decisión por parte de los poderes públicos, así como la utilización que aquéllos hacen de los fondos presupuestarios, garantizándose así la participación de los ciudadanos en los asuntos públicos mediante un mejor conocimiento de la acción del Estado.

Por tanto, con carácter general, habrá que entender que, en cuanto el acceso a la información contribuya a un mejor conocimiento de los criterios de organización y funcionamiento de las instituciones o a la asignación de los recursos, cabrá considerar la existencia de un interés público prevalente sobre los derechos a la protección de datos y a la intimidad en los términos y con las excepciones establecidas por la LTAIBG. Por el contrario, cuando la información no contribuya a un mayor conocimiento de la organización y funcionamiento de las instituciones o de la asignación de los recursos públicos, prevalecerá el respeto a los derechos a la protección de datos o la intimidad.

Lo que se comunica a los efectos de establecer criterios de actuación en los supuestos de publicar información tanto en boletines oficiales, anuncios y publicación en páginas web.” (el subrayado es de la AEPD).

6. Reclamación de fecha 14 de febrero de 2024 relativa al contenido del Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 30 de noviembre de 2023:

Tal y como se ha destacado en el antecedente primero, la parte reclamante ha presentado una nueva reclamación ante la AEPD, relativa a la publicación del Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento de Jerez de los Caballeros Pleno el día 30 de noviembre de 2023. En dicha acta (documento 1, que acompaña a la reclamación de 14 de febrero de 2024) figura el nombre y los dos apellidos del reclamante en dos ocasiones (páginas 3 y 4) (hecho probado tercero).

En el expediente constan dos evidencias recabadas por la AEPD el día 19 de marzo de 2024. En las mismas se refleja que el contenido del Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 30 de noviembre de 2023 (en la figuran en dos ocasiones el nombre y dos apellidos de la parte reclamante) y que dicho documento estaba publicado en el apartado denominado “Transparencia” de la Sede Electrónica de dicho Ayuntamiento (hecho probado tercero).

7. Reclamación de fecha 3 de junio de 2024 relativa al contenido d el Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 y del Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 28 de septiembre del año 2023:

El antecedente primero refleja que la parte reclamante ha presentado una nueva reclamación ante la AEPD relativa a la publicación del Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 y del Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 28 de septiembre del año 2023.

Las diligencias de 12 de junio de 2024 muestran que, una vez más, a pesar de las recomendaciones del Delegado de Protección de Datos, el Ayuntamiento de Jerez de los Caballeros había incluido ambas actas nombre y los dos apellidos del reclamante, un ciudadano que había formulado alegaciones a asuntos que iban a ser debatidos y decididos por el Pleno del Ayuntamiento, ocultos tras unas figuras rectangulares negras.

8. Datos personales contenidos en el A cta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno del día 8 de marzo del año 2021:

8.1. Nombre y apellidos de la parte reclamante:

En cuanto al nombre y apellidos de la parte reclamante, el Criterio Interpretativo CI/004/2015 emitido por el Consejo de Transparencia y Buen Gobierno (CTBG) juntamente con la Agencia Española de Protección de Datos, en fecha 23 de julio de 2015, interpreta la expresión “datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano”, contenida en el artículo 15.2 de la LTAIBG destacando que la misma haría referencia al nombre, apellidos, dirección o teléfono (profesionales), cargo o puesto de trabajo ocupado en la organización administrativa.

La parte reclamante no formaba parte del Pleno del Ayuntamiento de Jerez de los Caballeros. Se trataba de un ciudadano que formulaba alegaciones a una serie de Reglamentos y Ordenanzas Municipales que iban a ser debatidos y aprobados en dicho Pleno.

Por tanto, el nombre y apellidos del reclamante no estaban relacionados exclusivamente con la organización, funcionamiento o actividad pública del órgano en cuestión, ni se habrían publicado por razón del cargo que el reclamante ostentaba.

En lo que se refiere al acta objeto de la reclamación que ha dado lugar a este expediente (Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo del año 2021, publicada en la Sede Electrónica del Ayuntamiento el 18 de agosto de 2023), con carácter previo a su publicación (era la segunda ocasión en la que el Ayuntamiento la publicaba) resulta evidente que debería haberse aplicado el criterio del artículo 15.3 de la LTAIBG, realizando una ponderación entre, por un lado, el interés público en la divulgación de la información y, por otro, la protección de los derechos y libertades de la parte reclamante, en particular, de su derecho a la protección de datos de carácter personal.

Al realizar dicha ponderación, sería necesario considerar una serie de circunstancias:

• Que el reclamante había presentado el 8 de marzo de 2022 un escrito ante el Registro General del Ayuntamiento de Jerez de los Caballeros manifestando su oposición al tratamiento de sus datos personales (nombre y apellidos y NIF) en el Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno del día 8 de marzo del año 2021.

• Que el Delegado de Protección de Datos, asesor cualificado en materia de protección de datos del Ayuntamiento, había recomendado la:

“a) Anonimización del nombre y apellidos del interesado, de tal manera que no pueda reconocerse su identidad.”

A pesar de dichas circunstancias y del contenido de la resolución de la Alcaldía Presidencia del Ayuntamiento de Jerez de los Caballeros, notificada al reclamante el 22 de marzo de 2022, cuyo contenido se ha reproducido en el apartado 2 de este fundamento de derecho, el acta publicada, que acompaña a la reclamación de 18 de agosto de 2023, contiene en numerosas ocasiones el nombre y apellidos del reclamante (el nombre y dos apellidos figuran en al menos 19 ocasiones, a las que se unen numerosas referencias al “Sr. A.A.A.”) (hecho probado tercero).

8.2. Número de Identificación Fiscal (NIF):

En relación con el Número de Identificación Fiscal (NIF), resulta necesario destacar que el Documento Nacional de Identidad o DNI contiene el número personal del Documento Nacional de Identidad y el carácter de verificación correspondiente al Número de Identificación Fiscal (NIF). Por tanto, si se publica el NIF de una persona física se está dando a conocer el número identificativo completo asignado a dicha persona física por el Ministerio del Interior, tal y como figura en su DNI.

La referencia al Documento Nacional de Identidad (DNI), ha sido analizada en el Criterio Interpretativo CI/004/2015, emitido por el Consejo de Transparencia y Buen Gobierno (CTBG) juntamente con la Agencia Española de Protección de Datos, en fecha 23 de julio de 2015, estableciendo lo siguiente:

“Por un lado, respecto del DNI, corresponda éste a una persona de carácter público o a una persona de carácter privado, se entiende que el conocimiento de este dato no es relevante a los efectos de alcanzar el objetivo ce transparencia que preside la LTAIBG, toda vez que el mismo se cumple con la identificación realizada a través de la publicación de los nombres y apellidos y, en su caso, la identificación del Acto de nombramiento de los firmantes que ocupan un cargo público en el marco de cuyas competencias se firman el correspondiente contrato o convenio. Asimismo, debe tenerse en cuenta, por una parte, que este dato excede de la esfera pública de los firmantes, que es el criterio relevante que ha sido tenido en cuenta por la Ley para prever la publicación de la información y, por otra, que su conocimiento por terceros podría incluso generar riesgos de suplantación de identidad, especialmente en el ámbito de las transacciones electrónicas.” (el subrayado es de la AEPD).

Por tanto, dicho dato de carácter personal no debió ser incluido en el Acta del Pleno del Ayuntamiento y su tratamiento resulta claramente excesivo.

9. Datos personales contenidos en el Acta de la sesión celebrada por el Excelentísimo Ayuntamiento Pleno del día 30 de noviembre de 2023:

En dicha acta se reflejan el nombre completo y dos apellidos de la parte reclamante en dos ocasiones (páginas 3 y 4), al hacer referencia a unas alegaciones formuladas por el mismo a una modificación presupuestaria, que iba a ser aprobada por dicho Pleno (hecho probado tercero).

10. Datos personales contenidos en el Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 y en el Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 28 de septiembre del año 2023:

En la primera acta (sesión plenaria de 20 de julio del año 2023) figuran en dos ocasiones el nombre y los dos apellidos de la parte reclamante. En la segunda (sesión plenaria de 28 de septiembre del año 2023) se menciona en una ocasión el nombre y los dos apellidos de la parte reclamante (hecho probado tercero).

En relación con las tres actas relativas a sesiones plenarias celebradas en el año 2023 (apartados 9 y 10), esta Agencia se remite a lo ya indicado en el apartado 8.1, relativo al tratamiento del nombre y apellidos de la parte reclamante.

En conclusión, en relación con las cuatro actas objeto de reclamación no era necesario publicar el nombre y apellidos ni el NIF de la parte reclamante, resultando excesivo el tratamiento de dichos datos de carácter personal. El Consistorio podía haberse limitado a reproducir el contenido de las alegaciones formuladas y de la decisión adoptada, a la vista de las mismas.

Los hechos conocidos son constitutivos de una infracción, imputable al Ayuntamiento Jerez de los Caballeros, por vulneración del artículo 5.1.c) del RGPD (principio de minimización de datos).

IV Tipificación y calificación de la infracción del artículo 5.1 c) del RGPD

La citada infracción del artículo 5.1 c) del RGPD supone la comisión de una de las infracciones tipificadas en el artículo 83.5 del RGPD, que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:

“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;”

A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.

A efectos del plazo de prescripción, el artículo 72 “Infracciones consideradas muy graves” de la LOPDGDD indica:

“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.”

V Infracción del artículo 32 del RGPD

Establece el artículo 32 del RGPD, seguridad del tratamiento, lo siguiente:

“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

(…)

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo las instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.” (subrayado de la AEPD).

Por su parte, el considerando 74 del RGPD dispone lo siguiente:

“Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.” (el subrayado es de la AEPD).

El artículo 32 del RGPD no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.

En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En el caso analizado en este expediente, el Ayuntamiento ha pretendido anonimizar el Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo del año 2021. Con esta finalidad, ha utilizado quince figuras rectangulares negras destinadas a ocultar el NIF de la parte reclamante.

La medida de anonimización empleada no cumple la finalidad pretendida. En el escrito de reclamación de 18 de agosto de 2023 se indica:

“(…) el documento vuelve a mostrar en 20 ocasiones mi nombre completo y dos apellidos y mi NIF aparece marcado temporalmente con un rectángulo negro. Una vez descargado el documento y abierto con un simple lector de documentos PDF, permite seleccionar y copiar el texto marcado en negro y al pegar aparece mi número completo de NIF. Y activando la edición y marcando suprimir sobre el rectángulo negro que tacha mi NIF, este desaparece en todas las ocasiones.”

A continuación, figuran una serie de imágenes que muestran lo indicado por el reclamante.

Asimismo, las evidencias recabadas por la AEPD en fecha 12 de junio de 2024 reflejan que el Ayuntamiento ha tratado de anonimizar el contenido del Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023.

El Consistorio ha vuelto a utilizar figuras rectangulares negras que ocultan el nombre y los dos apellidos de la parte reclamante. No obstante, si se copia el texto de dicha acta y se pega en un documento, puede verse el contenido del acta íntegro, sin anonimizar, siendo posible visualizar el nombre y los dos apellidos de la parte reclamante (hecho probado cuarto).

Por tanto, una vez más, la medida de anonimización empleada no cumple con la finalidad pretendida.

Por otra parte, al publicar dichas actas “anonimizadas” se ha mantenido el Código Seguro de Verificación (CSV) sin anonimizar (hecho probado tercero). Tal y como indica la parte reclamante, si se consulta el contenido de las actas utilizando dicho Código, se accede a las actas originales. En el primer caso, se puede ver el NIF completo de la parte reclamante sin ningún elemento destinado a anonimizarlo (no hay rectángulos negros que pretendan ocultarlo), en el caso de las actas de las sesiones plenarias de 20 de julio y 28 de septiembre de 2023, se visualizan el nombre y los dos apellidos del reclamante (Documento 3 aportado por el reclamante, junto a su reclamación de 18 de agosto de 2023).

Todo ello refleja claramente la falta de adopción de medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del RGPD (tal y como destaca el Criterio Interpretativo CI/004/2015, emitido por el Consejo de Transparencia y Buen Gobierno (CTBG) juntamente con la Agencia Española de Protección de Datos, en fecha 23 de julio de 2015, parcialmente reproducido en el fundamento de derecho III, la publicación del NIF podría generar riesgos de suplantación de identidad, especialmente en el ámbito de las transacciones electrónicas).

Los hechos conocidos son constitutivos de una infracción, imputable al Ayuntamiento Jerez de los Caballeros, por vulneración del artículo 32 del RGPD.

VI Tipificación y calificación de la infracción del artículo 32 del RGPD

Los hechos conocidos son constitutivos de una infracción, imputable a la parte reclamada, del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD, que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:

“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)”

A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.

A efectos del plazo de prescripción de las infracciones, el artículo 73 “Infracciones consideradas graves” de la LOPDGDD indica:

“En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

(…)

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679. (…)”

VII Sanción por la infracción de los artículos 5.1c) y 32 del RGPD

El artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD en su apartado 7 establece:

“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”

Asimismo, el artículo 77 “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(…)

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. (…)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.”

A tenor de los hechos expuestos, se considera que corresponde:

-Imputar una sanción al Ayuntamiento de Jerez de los Caballeros por la vulneración del Artículo 5.1 c) del RGPD, tipificada en el Artículo 83.5 del RGPD. La sanción que corresponde imponer es la declaración de infracción.

-Imputar una sanción al Ayuntamiento de Jerez de los Caballeros por la vulneración del Artículo 32 del RGPD, tipificada en el Artículo 83.4 del RGPD. La sanción que corresponde imponer es la declaración de infracción.

VIII Medidas

Al haberse confirmado las infracciones, procede imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá “d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado”.

Se advierte que no atender la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos

RESUELVE 

 

PRIMERO: DECLARAR que el AYUNTAMIENTO DE JEREZ DE LOS CABALLEROS, con NIF P*********, ha infringido:

-Lo dispuesto en el Artículo 5.1.c) del RGPD, infracción tipificada en el artículo 83.5 del citado Reglamento.

-Lo dispuesto en el Artículo 32 del RGPD, infracción tipificada en el artículo 83.4 del citado Reglamento.

SEGUNDO: ORDENAR a AYUNTAMIENTO DE JEREZ DE LOS CABALLEROS, con NIF P*********, que en virtud del artículo 58.2.d) del RGPD, que:

1. En el plazo de 1 mes desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de la siguiente medida:

- Haber anonimizado adecuadamente el nombre, apellidos y NIF de la parte reclamante en el Acta de la sesión extraordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 8 de marzo de 2021, en el Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 30 de noviembre de 2023, en el Acta de la sesión extraordinaria y urgente celebrada por el Excelentísimo Ayuntamiento Pleno el día 20 de julio del año 2023 y en el Acta de la sesión ordinaria celebrada por el Excelentísimo Ayuntamiento Pleno el día 28 de septiembre del año 2023

2. En el plazo de 6 meses desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las siguientes medidas:

- La adopción, por parte de ese Ayuntamiento, de medidas adecuadas para garantizar que los tratamientos de datos de carácter personal que realiza el Ayuntamiento respetan lo dispuesto en los artículos 5.1 c) y 32 del RGPD, impidiendo que vuelvan a producirse situaciones como las que han dado origen a las reclamaciones examinadas en este expediente sancionador.

TERCERO NOTIFICAR la presente resolución a AYUNTAMIENTO DE JEREZ DE LOS CABALLEROS.

CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos