Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 04/06/2024
Se presenta por una particular reclamación contra un ayuntamiento por haber fotografiado un agente de la Policía Local su documento nacional de identidad para cumplimentar un atestado, a pesar de la negativa de la misma, tapando la fotografía que figura en dicho documento.
La AEPD señala que, si bien las Fuerzas y Cuerpos de Seguridad del Estado al realizar las actuaciones que tienen legalmente encomendadas pueden tratar los datos personales de los ciudadanos, para determinar si se ha producido una quiebra del principio de minimización de datos se ha de valorar si el objetivo perseguido con la toma de la fotografía podría haberse alcanzado por otros medios, realizando un tratamiento de datos menos invasivo. En este caso, la AEPD entiende que la finalidad pretendida de ahorro de tiempo en la intervención y precisión en la toma de datos evitando errores no justifican el tratamiento adicional de los datos, más aún cuando, ni siquiera las fotografías fueron eliminadas de los archivos una vez cumplido tal objetivo. Por ello, considera que los hechos son constitutivos de una infracción del principio de “minimización de datos” del art. 5.1.c) RGPD.
Asimismo, la AEPD afirma que la toma de los datos de filiación de un ciudadano para su posterior tratamiento debe realizarse con métodos que garanticen la seguridad y confidencialidad de los datos personales, lo que no ocurre cuando las fotografías de los documentos identificativos de los ciudadanos se toman con los móviles personales de los agentes de Policía Local, lo que constituye una infracción del art. 32 RGPD.
PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 2 de febrero de 2023 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE TORROX con NIF P2909100F (en adelante, la parte reclamada o el Ayuntamiento). Los motivos en que basa la reclamación son los siguientes:
"Los agentes de la policía local tienen la manía de fotografiar con sus móviles el DNI, tal como hicieron con el mío. Les pedí que no lo hicieran y lo único que contestaron es que tapaban la foto. No contentos con esto, el segundo agente decidió también hacer una foto a mi DNI a pesar de mi negativa. Lo peor es que yo fui quien los llamé por un problema y ellos lo que hicieron fue tratarme como si hubiera sido denunciada"
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), con fecha 2 de marzo de 2023 se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. Dicho traslado fue reiterado el 24 de abril de 2023.
TERCERO: Con fecha 2 de mayo de 2023, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: Con fecha 3 de mayo de 2023 se recibió en esta Agencia escrito del Ayuntamiento en respuesta al traslado de la reclamación, por el que se remite el informe del Jefe de la Policía Local de 27 de marzo de 2023, en el que se indica:
"Las Fuerzas y Cuerpos de Seguridad del Estado se encuentran totalmente autorizadas para solicitar o tomar los datos de las personas con motivos de investigación, preventivos o para aquellos casos que se produzcan en el contexto de que el individuo pueda estar incurriendo en algún tipo de ilegalidad o infracción, todo ello de conformidad con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, la Directiva Europea 2016/680, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y el Reglamento General de Protección de Datos, de misma fecha.
La Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana, establece en los artículos 16.1 y 9.2 que los ciudadanos deben obligatoriamente presentar sus datos personales o DNI cuando los agentes de las Fuerzas y Cuerpos de Seguridad les requieran la identificación en las siguientes situaciones:
a) Cuando existan indicios de que han podido participar en la comisión de una infracción.
b) Cuando, en atención a las circunstancias concurrentes, se considere razonablemente necesario que acrediten su identidad para prevenir la comisión de un delito.
Respecto al fotografiado del documento, este se realiza principalmente por una cuestión práctica de ahorro de tiempo en la intervención y precisión en la toma de datos, llegando a usar aplicaciones que transcriben su contenido sin que exista la posibilidad de cometer errores en la confección de informes o consultas.
La fotografía es trasladada a la central policial que realiza gestiones de comprobación en aquellos casos que es requerido para ello y se archiva, si fuera necesario, en programas que cumplen con el objetivo de seguridad marcado por la normativa actual. En ningún caso se archiva en los terminales, procediendo a la eliminación de estos una vez se han realizado las correspondientes gestiones, de conformidad con lo establecido por la mencionada LO 3/2018, que exige a los responsables del tratamiento, la adopción de las correspondientes medidas de seguridad de índole técnica y organizativa necesarias que garanticen que el tratamiento es conforme a la normativa vigente. Es decir, que la toma de los datos de filiación de un ciudadano para su posterior tratamiento se realiza con métodos que garantizan la seguridad y confidencialidad de los datos personales, como es el traslado de la fotografía a través de sistemas cifrados y archivo, como se ha dicho antes, en programas con homologaciones de seguridad y cumplimiento de normativa vigente.
Aunque no exista en esta Policía un protocolo interno de actuación relativo al uso de documentos personales en las identificaciones, la fotografía de estos en terminales móviles corporativos o personales se hace con el consentimiento de su titular. Solo en los casos de negativa expresa, se tapa la fotografía con un dedo del agente para garantizar su intimidad por deseo expreso, como es el caso que nos ocupa.
En consecuencia, la realización de una fotografía así no vulnera la intimidad de su titular y el resto se realiza conforme a la normativa vigente, desde el respeto y consentimiento de su titular y con las máximas garantías de seguridad, confidencialidad y funcionalidad policial que las intervenciones requieren. (...)"
Dicho informe incluye las fotografías del anverso y el reverso del Documento Nacional de Identidad de la reclamante. En la primera fotografía, aparece un dedo del agente de policía que oculta el rostro de la reclamante.
QUINTO: Con fecha 15 de diciembre de 2023, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, por:
-La presunta infracción del Artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a), y calificada como muy grave a efectos de prescripción en el artículo 72.1 a) de la LOPDGDD.
-La presunta infracción del Artículo 32 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 f) de la LOPDGDD.
SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría imponerse. Por ello, tomando en consideración que la parte reclamada no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS PROBADOS
PRIMERO: El agente de la Policía Local fotografió el Documento Nacional de Identidad (DNI) de la reclamante, a pesar de la negativa de la misma, tapando la fotografía que figura en dicho documento.
Así se refleja en el informe del Jefe de la Policía Local de 27 de marzo de 2023:
"Aunque no exista en esta Policía un protocolo interno de actuación relativo al uso de documentos personales en las identificaciones, la fotografía de estos en terminales móviles corporativos o personales se hace con el consentimiento de su titular. Solo en los casos de negativa expresa, se tapa la fotografía con un dedo del agente para garantizar su intimidad por deseo expreso, como es el caso que nos ocupa." (el subrayado es nuestro).
SEGUNDO: Según el responsable "Respecto al fotografiado del documento, este se realiza principalmente por una cuestión práctica de ahorro de tiempo en la intervención y precisión en la toma de datos, llegando a usar aplicaciones que transcriben su contenido sin que exista la posibilidad de cometer errores en la confección de informes o consultas."
TERCERO: A fecha 27 de marzo de 2023 el Ayuntamiento de Torrox continuaba conservando las fotografías del anverso y del reverso del Documento Nacional de Identidad de la parte reclamante realizadas el 27 de enero de 2023.
Ambas fotografías figuran en el informe del Jefe de la Policía Local de 27 de marzo de 2023.
CUARTO: El Ayuntamiento de Torrox realiza fotografías de los documentos personales en las identificaciones, utilizando tanto móviles corporativos como personales, tal y como reconoce el informe de la Policía Local.
En este sentido, el informe del Jefe de la Policía Local de 27 de marzo de 2023, indica:
"Aunque no exista en esta Policía un protocolo interno de actuación relativo al uso de documentos personales en las identificaciones, la fotografía de estos en terminales móviles corporativos o personales se hace con el consentimiento de su titular." (el subrayado es nuestro).
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Tratamiento de datos personales por las Fuerzas y Cuerpos de Seguridad del Estado
Según se establece en el apartado III del "Preámbulo" de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana (LOPSC), "(...) habilita a las autoridades competentes para acordar distintas actuaciones dirigidas al mantenimiento y, en su caso, al restablecimiento de la tranquilidad ciudadana en supuestos de inseguridad pública, regulando con precisión los presupuestos, los fines y los requisitos para realizar estas diligencias, de acuerdo con los principios, entre otros, de proporcionalidad, injerencia mínima y no discriminación (...)".
Y así se establecen en los artículos 9.2 y 16.1 de la LOPSC, respecto de la obligación de exhibir y permitir la comprobación del DNI por parte de los agentes de las Fuerzas y Cuerpos de Seguridad del Estado.
En el artículo 9, sobre las obligaciones y derechos del titular del Documento Nacional de Identidad, indica que:
"2. Todas las personas obligadas a obtener el Documento Nacional de Identidad lo están también a exhibirlo y permitir la comprobación de las medidas de seguridad a las que se refiere el apartado 2 del artículo 8 cuando fueren requeridas para ello por la autoridad o sus agentes, para el cumplimiento de los fines previstos en el apartado 1 del artículo 16. De su sustracción o extravío deberá darse cuenta tan pronto como sea posible a la comisaría de Policía o puesto de las Fuerzas y Cuerpos de Seguridad más próximo".
En su artículo 16.1, sobre la Identificación de las personas, se establece que:
"1. En el cumplimiento de sus funciones de indagación y prevención delictiva, así como para la sanción de infracciones penales y administrativas, los agentes de las Fuerzas y Cuerpos de Seguridad podrán requerir la identificación de las personas en los siguientes supuestos:
a) Cuando existan indicios de que han podido participar en la comisión de una infracción.
b) Cuando, en atención a las circunstancias concurrentes, se considere razonablemente necesario que acrediten su identidad para prevenir la comisión de un delito.
En estos supuestos, los agentes podrán realizar las comprobaciones necesarias en la vía pública o en el lugar donde se hubiese hecho el requerimiento, incluida la identificación de las personas cuyo rostro no sea visible total o parcialmente por utilizar cualquier tipo de prenda u objeto que lo cubra, impidiendo o dificultando la identificación, cuando fuere preciso a los efectos indicados.
En la práctica de la identificación se respetarán estrictamente los principios de proporcionalidad, igualdad de trato y no discriminación por razón de nacimiento, nacionalidad, origen racial o étnico, sexo, religión o creencias, edad, discapacidad, orientación o identidad sexual, opinión o cualquier otra condición o circunstancia personal o social."
Por tanto, las Fuerzas y Cuerpos de Seguridad del Estado, al realizar actuaciones que tienen legalmente encomendadas, pueden tratar los datos personales de los ciudadanos. Dichos tratamientos deben ser realizados respetando en todo momento, lo establecido en la normativa vigente en materia de protección de datos de carácter personal, el RGPD y la LOPDGDD, respectivamente.
III
Obligación incumplida del artículo 5.1 c) del RGPD
En lo que respecta a la aplicación de la normativa de protección de datos al supuesto planteado, debe tenerse en cuenta que el RGPD, en su artículo 5, establece los principios relativos al tratamiento de los datos de carácter personal.
En su apartado 1.c) prevé:
"1. Los datos personales serán:
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);"
Resulta necesario aclarar que este artículo no limita el exceso de datos, sino la necesidad. Es decir, los datos personales serán, "adecuados, pertinentes y limitados a la necesidad", para la que fueron recabados. De tal manera, que se debe evaluar si el objetivo perseguido podría haberse alcanzado por otro medio, sin realizar un tratamiento excesivo de datos, como en nuestro caso.
Así lo prevé también el Considerando 39 del RGPD, cuando indica:
"(...) Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. (...)"
Por tanto, únicamente se tratarán los datos que sean, adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan. Las categorías de datos seleccionados para su tratamiento deben ser los estrictamente necesarios para lograr el objetivo declarado y el responsable del tratamiento debe limitar estrictamente la recogida de datos a aquella información que esté directamente relacionada con el fin específico que se intenta alcanzar.
En el supuesto examinado, el tratamiento ha consistido en la realización de la fotografía de DNI a través del móvil del policía, así como su conservación.
En cuanto a la causa por la que se realizó dicha fotografía, en el informe del Jefe de la Policía Local de 27 de marzo de 2023 se indica:
"Respecto al fotografiado del documento, este se realiza principalmente por una cuestión práctica de ahorro de tiempo en la intervención y precisión en la toma de datos, llegando a usar aplicaciones que transcriben su contenido sin que exista la posibilidad de cometer errores en la confección de informes o consultas.
La fotografía es trasladada a la central policial que realiza gestiones de comprobación en aquellos casos que es requerido para ello y se archiva, si fuera necesario, en programas que cumplen con el objetivo de seguridad marcado por la normativa actual." (el subrayado es nuestro).
A fin de determinar si se ha producido una quiebra del principio de minimización de datos se ha de valorar si el objetivo perseguido con la toma de la fotografía del DNI de la reclamante podría haberse alcanzado por otros medios, realizando un tratamiento de datos menos invasivo. La utilización de un medio excepcional de identificación, como es hacer fotografías con un teléfono móvil, requerirá de la concurrencia de circunstancias excepcionales que aconsejen la realización de otras operaciones de tratamiento de datos adicionales a las que podrían realizarse con la mera exhibición al agente del DNI por parte de su titular y la toma de los datos por parte de aquel.
La finalidad pretendida, en este caso, por los agentes al fotografiar el DNI de la reclamante consistió en el ahorro de tiempo en la intervención y precisión en la toma de datos evitando errores. Estas circunstancias, por si solas, como se ha expuesto, no justifican el tratamiento adicional de los datos, más aún cuando, como sucedió en este caso, ni siquiera las fotografías fueron eliminadas de los archivos una vez cumplido tal objetivo.
En este sentido, el informe de la Policía Local incluye una fotografía del anverso y otra del reverso del DNI de la reclamante, mostrando que el Ayuntamiento continuaba conservando dichas imágenes a fecha 27 de marzo de 2023 (tres meses después de que ocurrieran los hechos y la policía local hiciera las fotografías). No se acierta a comprender la causa que ha motivado la conservación de la imagen durante esos tres meses.
Se considera que los hechos conocidos son constitutivos de una infracción del principio de «minimización de datos», regulado en el artículo 5.1.c) del RGPD, imputable al Ayuntamiento de Torrox, tipificada en el artículo 83.5 del RGPD.
IV
Tipificación y calificación de la infracción del artículo 5.1 c) del RGPD
La citada infracción del artículo 5.1 c) del RGPD supone la comisión de una de las infracciones tipificadas en el artículo 83.5 del RGPD que, bajo la rúbrica "Condiciones generales para la imposición de multas administrativas", dispone:
"5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;"
A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 72 "Infracciones consideradas muy graves" de la LOPDGDD indica:
"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679."
V
Sanción por la infracción del artículo 5.1 c) del RGPD
El Artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD apartado 7 establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. (...)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
(...)"
A tenor de los hechos expuestos, se considera que corresponde imputar una sanción al Ayuntamiento de Torrox por la vulneración del Artículo 5.1.c) del RGPD, tipificada en el Artículo 83.5 del RGPD. La sanción que corresponde imponer es la declaración de infracción.
VI
Obligación incumplida del artículo 32 del RGPD
El artículo 32 del RGPD exige a los responsables del tratamiento, la adopción de las correspondientes medidas de seguridad necesarias que garanticen que el tratamiento es conforme a la normativa vigente, así como garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales, solo los pueda tratar siguiendo instrucciones del responsable.
En este sentido, el artículo 32 del RGPD, seguridad del tratamiento, prevé lo siguiente:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos" (El subrayado es nuestro).
Por otra parte, el Considerando (74), del RGPD indica que:
"Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como, el riesgo para los derechos y libertades de las personas físicas."
Así, la toma de los datos personales de identificación de un ciudadano, por parte de los agentes de la Policía, debe realizarse con métodos que garanticen la seguridad y confidencialidad de estos, siguiendo las instrucciones del responsable del tratamiento.
En el informe del Jefe de la Policía Local de fecha 27 de marzo de 2023, remitido por el Ayuntamiento en contestación al traslado de la reclamación, en relación con el fotografiado del DNI de la reclamante, se indica:
"Respecto al fotografiado del documento, este se realiza principalmente por una cuestión práctica de ahorro de tiempo en la intervención y precisión en la toma de datos, llegando a usar aplicaciones que transcriben su contenido sin que exista la posibilidad de cometer errores en la confección de informes o consultas.
La fotografía es trasladada a la central policial que realiza gestiones de comprobación en aquellos casos que es requerido para ello y se archiva, si fuera necesario, en programas que cumplen con el objetivo de seguridad marcado por la normativa actual. En ningún caso se archiva en los terminales, procediendo a la eliminación de estos una vez se han realizado las correspondientes gestiones, de conformidad con lo establecido por la mencionada LO 3/2018, que exige a los responsables del tratamiento, la adopción de las correspondientes medidas de seguridad de índole técnica y organizativa necesarias que garanticen que el tratamiento es conforme a la normativa vigente. Es decir, que la toma de los datos de filiación de un ciudadano para su posterior tratamiento se realiza con métodos que garantizan la seguridad y confidencialidad de los datos personales, como es el traslado de la fotografía a través de sistemas cifrados y archivo, como se ha dicho antes, en programas con homologaciones de seguridad y cumplimiento de normativa vigente.
Aunque no exista en esta Policía un protocolo interno de actuación relativo al uso de documentos personales en las identificaciones, la fotografía de estos en terminales móviles corporativos o personales se hace con el consentimiento de su titular. Solo en los casos de negativa expresa, se tapa la fotografía con un dedo del agente para garantizar su intimidad por deseo expreso, como es el caso que nos ocupa:
En consecuencia, la realización de una fotografía así no vulnera la intimidad de su titular y el resto se realiza conforme a la normativa vigente, desde el respeto y consentimiento de su titular y con las máximas garantías de seguridad, confidencialidad y funcionalidad policial que las intervenciones requieren.
(...)"
Como puede observarse, la Policía Local utiliza para la toma de fotografías de los documentos identificativos de los ciudadanos, tanto móviles corporativos como personales.
La toma de los datos de filiación de un ciudadano para su posterior tratamiento debe realizarse con métodos que garanticen la seguridad y confidencialidad de los datos personales.
1. El uso de teléfonos móviles personales por parte de los agentes no garantizaría adecuadamente la seguridad de los datos:
Por una parte, dichos teléfonos móviles particulares quedarían fuera del control del responsable del tratamiento, que no puede tomar decisiones relacionadas con la seguridad del dispositivo, entre ellas, la instalación de programas y aplicaciones y sus actualizaciones.
Por otra, no queda debidamente garantizado que no se produzcan pérdidas o alteraciones de dichos datos y, muy especialmente, dada la generalización de uso de dispositivos inteligentes, la posibilidad de acceso por terceros a los datos tratados a través de dichos dispositivos, pudiendo producirse inadvertidamente una cesión de datos a terceros.
A lo ya expuesto, cabe añadir que, los usos privados que cada agente pueda realizar con su propio teléfono móvil personal, no resultan compatibles con las medidas de seguridad que para el ejercicio de las funciones de policía deben adoptarse por los responsables del fichero policial del que formarán parte tales grabaciones.
2. En el caso de que se utilizasen dispositivos inteligentes que se hayan entregado con carácter oficial para su uso con fines policiales, éstos deberían responder a las exigencias normativas, debiendo, en particular, adoptarse todas las precauciones para impedir accesos indebidos a los datos que con ellos se capten.
Asimismo, en el informe de 27 de marzo de 2023, parte de cuyo contenido ha sido reproducido, se reconoce que no existe un protocolo interno de actuación relativo al uso de documentos personales en las identificaciones.
Los hechos conocidos son constitutivos de una infracción del artículo 32 del RGPD, imputable al Ayuntamiento de Torrox, tipificada en el artículo 83.4 del RGPD.
VII
Tipificación y calificación de la infracción del artículo 32 del RGPD
La citada infracción del artículo 32 del RGPD supone la comisión de una de las infracciones tipificadas en el artículo 83.4 del RGPD que, bajo la rúbrica "Condiciones generales para la imposición de multas administrativas", dispone:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (...)"
A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 73 "Infracciones consideradas graves" de la LOPDGDD indica:
"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(...)
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.(...)"
VIII
Sanción por la infracción del artículo 32 del RGPD
El Artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD apartado 7 establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local (...)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
(...)"
A tenor de los hechos expuestos, se considera que corresponde imputar una sanción al Ayuntamiento de Torrox por la vulneración del Artículo 32 del RGPD, tipificada en el Artículo 83.4 del RGPD. La sanción que corresponde imponer es la declaración de infracción.
IX
Adopción de medidas
Al haberse confirmado las infracciones, procede imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá "d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado".
Se advierte que no atender la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos
PRIMERO: DECLARAR que AYUNTAMIENTO DE TORROX, con NIF P2909100F, ha infringido:
-Lo dispuesto en el Artículo 5.1.c) del RGPD, infracción tipificada en el artículo 83.5.a), y calificada como muy grave a efectos de prescripción en el artículo 72.1 a) de la LOPDGDD.
-Lo dispuesto en el Artículo 32 del RGPD, infracción tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 f) de la LOPDGDD.
SEGUNDO: ORDENAR a AYUNTAMIENTO DE TORROX, con NIF P2909100F, que en virtud del artículo 58.2.d) del RGPD, en el plazo de seis meses desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las siguientes medidas:
1. Suprimir las fotografías del Documento Nacional de Identidad de la reclamante realizadas el 27 de enero de 2023.
2. Establecer las medidas adecuadas para garantizar que, los tratamientos de datos de carácter personal que realiza el Ayuntamiento se adecúen a las exigencias contempladas en los artículos 5.1 c) y 32 del RGPD, impidiendo que vuelvan a producirse situaciones como la que ha dado origen a la reclamación examinada en este expediente sancionador.
SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE TORROX.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [<https://sedeagpd.gob.es/sede-electronica-web/%5D,>web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.