¿Infringe el ayuntamiento el RGPD al no facilitar la información requerida por la AEPD?


AEPD 11/11/2024

Se presentó una reclamación por parte de un particular contra un ayuntamiento por una presunta infracción del RGPD y la LOPDGDD, por lo que la AEPD notificó al consistorio la incoación del correspondiente procedimiento, solicitándole la remisión de la información y documentación que se indicaba.

Respecto de la información solicitada el ayuntamiento hizo caso omiso del requerimiento, por lo que la AEPD acuerda iniciar procedimiento sancionador contra él, por la presunta infracción del art. 58.1 del RGPD, tipificada en el art. 83.5 del RGPD.

Notificada la incoación del procedimiento, y transcurrido el plazo otorgado para la formulación de alegaciones, la Agencia constata que no ha recibido alegación ni documentación alguna del ayuntamiento.

Por lo anterior, la AEPD estima que el ayuntamiento ha infringido el RGPD, puesto que el art. 58.1 otorga a las autoridades de control el poder de requerir información, y el art. 83.5 RGPD tipifica como infracción el no facilitar dicha información.

Agencia Española de Protección de Datos, Resolución, 11-11-2024

 

Número de documento: EXP202413614

Fecha de documento: 11/11/2024

Concepto: Internet y nuevas tecnologías

Artículo infringido: Artículo 58.1 del RGPD

 

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

ANTECEDENTES 

 

PRIMERO: Como consecuencia de reclamación presentada ante la Agencia Española de Protección de Datos contra el AYUNTAMIENTO DE SANTIAGO DE COMPOSTELA con NIF P********* (en adelante, el Ayuntamiento), apreciándose indicios de un posible incumplimiento de las normas en el ámbito de las competencias de la Agencia Española de Protección de Datos, se iniciaron actuaciones con número de expediente EXP202318432.

De acuerdo con lo previsto en el artículo 65 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD en lo sucesivo), se trasladó la reclamación al responsable o al Delegado de Protección de Datos que en su caso hubiere designado, solicitándole que remitiera a esta Agencia la información y documentación que se indicaba.

El traslado, que se notificó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) mediante notificación electrónica, fue recogido por el responsable con fecha 20 de diciembre de 2023, como consta en el acuse de recibo que obra en el expediente.

Con fecha 16 de febrero de 2024, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la citada LOPDGDD.

En el marco de las actuaciones de investigación, se remitió por dos veces al Ayuntamiento un requerimiento de información, relativo a la reclamación indicada en el apartado primero, para que, en el plazo de diez días hábiles, presentase ante esta Agencia la información y documentación que se señalaban.

TERCERO: El referido requerimiento de información se notificó en ambas ocasiones conforme a las normas establecidas en la LPACAP y fue recogido por el Ayuntamiento con fechas 31 de mayo y 9 de septiembre de 2024, como consta en los acuses de recibo que obran en el expediente.

CUARTO: Respecto a la información requerida, el Ayuntamiento no ha remitido respuesta alguna a esta Agencia Española de Protección de Datos.

QUINTO: Con fecha 10 de octubre de 2024, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al Ayuntamiento, por la presunta infracción del Artículo 58.1 del RGPD, tipificada en el Artículo 83.5 del RGPD.

El acuerdo de inicio fue recogido por el Ayuntamiento con fecha 11 de octubre de 2024, como consta en el acuse de recibo que obra en el expediente.

SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por el Ayuntamiento.

El artículo 64.2.f) de la LPACAP -disposición de la que se informó al Ayuntamiento en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida al Ayuntamiento y la sanción que podría imponerse. Por ello, tomando en consideración que el Ayuntamiento no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS PROBADOS 

 

PRIMERO: Los requerimientos de información indicados en los antecedentes segundo y tercero fueron notificados con arreglo a lo dispuesto en la LPACAP.

SEGUNDO: El Ayuntamiento no ha respondido a los requerimientos de información efectuados por esta Agencia en el marco de las actuaciones de investigación del expediente EXP202318432 en los plazos otorgados para ello.

FUNDAMENTOS DE DERECHO 

 

I Competencia

De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD, es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Obligación incumplida

De conformidad con los hechos expuestos, se considera que el Ayuntamiento no ha procurado a la Agencia Española de Protección de Datos la información que le requirió.

Con la señalada conducta del Ayuntamiento, la potestad de investigación que el artículo 58.1 del RGPD confiere a las autoridades de control, en este caso, la AEPD, se ha visto obstaculizada.

Por tanto, los hechos descritos en el apartado de “Hechos probados” se estiman constitutivos de una infracción, imputable al Ayuntamiento, por vulneración del artículo 58.1 del RGPD, que dispone que cada autoridad de control dispondrá, entre sus poderes de investigación:

“a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;”

III Tipificación y calificación de la infracción

Los hechos expuestos se estiman constitutivos de una infracción, imputable al Ayuntamiento.

Esta infracción se tipifica en el artículo 83.5.e) del RGPD, que considera como tal: “no facilitar acceso en incumplimiento del artículo 58, apartado 1.”

En el mismo artículo se establece que esta infracción puede ser sancionada con multa de veinte millones de euros (20.000.000 €) como máximo o, tratándose de una empresa, de una cuantía equivalente al cuatro por ciento (4%) como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los tres años, conforme al artículo 72.1 de la LOPDGDD, que califica de muy grave la siguiente conducta:

“ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.”

IV Sanción imputada

El artículo 83.7 del RGPD dispone lo siguiente:

“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”

Asimismo, el artículo 77 “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(…)

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

(…)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.”

Por lo tanto, de acuerdo con la legislación aplicable, la Directora de la Agencia Española de Protección de Datos:

RESUELVE 

 

PRIMERO: DECLARAR que el AYUNTAMIENTO DE SANTIAGO DE COMPOSTELA, con NIF P*********, ha infringido lo dispuesto en el Artículo 58.1 del RGPD, infracción tipificada en el Artículo 83.5 del RGPD.

SEGUNDO: ORDENAR al AYUNTAMIENTO DE SANTIAGO DE COMPOSTELA, con NIF P*********, que de acuerdo con el poder de investigación dispuesto en el artículo 58.1.a) del RGPD, se facilite, en el plazo de diez días hábiles desde que la presente resolución sea firme y ejecutiva, la información requerida en los requerimientos realizados en el marco de las actuaciones con número de expediente EXP202318432 y a los que se ha hecho referencia en los antecedentes de esta resolución.

Se advierte que no atender los requerimientos de este organismo puede ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.

TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE SANTIAGO DE COMPOSTELA.

CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos