Necesidad de anonimizar los datos sensibles publicados en las Actas de la Junta de Gobierno Local


AEPD 20/07/2020

Un particular interpuso reclamación ante la AEPD contra un ayuntamiento por falta de respuesta por parte de éste respecto a su  solicitud de oposición/supresión de datos personales en la web de la Junta de Gobierno local al venirse publicando las Actas de la Junta de Gobierno con los acuerdos completos, incluyendo datos personales, entre otros, su condición de policía local junto a su nombre completo, sus solicitudes y resoluciones a nivel individual y, parte de un informe médico que recomienda un cambio de puesto.

La AEPD, ponderando, por una parte, la protección de los datos y los derechos personalísimos reconocidos en los arts. 15 a 22 RGPD y, por otra, lo dispuesto en el art. 7 de la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno -LT-, en relación a la información de relevancia jurídica, entiende que situaciones personales como las mencionadas no tienen relevancia para ser publicadas en los medios digitales identificando a los interesados, pero sí vulneran la privacidad del individuo en cuestión, por lo que, se tienen que anonimizar los datos de los interesados para que se proteja su intimidad y no se entre en conflicto con la Ley de transparencia.

Por ello, la AEPD estima que el reclamado deberá adoptar las medidas necesarias para proteger los datos sensibles, médicos, profesionales o de identidad de lo publicado en la página web.

Agencia Española de Protección de Datos, Resolución, 20-07-2020

Vista la reclamación formulada el 2 de diciembre de 2019 ante esta Agencia por D. A.A.A., (a partir de ahora la parte reclamante), contra AYUNTAMIENTO DE YECLA, (a partir de ahora la parte reclamada), por no haber sido debidamente atendido su derecho de oposición/supresión.

Realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes

ANTECEDENTES DE HECHO

PRIMERO: El reclamante ejerció derecho de oposición/supresión frente al reclamado con NIF P3004300D, sin que su solicitud haya recibido la contestación legalmente establecida.

La parte reclamante aporta diversa documentación relativa a la reclamación planteada ante esta Agencia y sobre el ejercicio del derecho ejercitado.

Según manifiesta, se están publicando las Juntas de Gobierno con los acuerdos completos, incluyendo datos personales, incumpliéndose los preceptos legales aplicables sobre el tratamiento y custodia de los datos personales en distintos ficheros. Ejerce derecho de oposición a la publicación de sus datos personales en la web de las Juntas de gobierno local.

SEGUNDO: De conformidad con las funciones previstas en el Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD), particularmente las que responden a los principios de transparencia y responsabilidad proactiva por parte del responsable del tratamiento, se le ha requerido que informe a esta Agencia de las acciones que se han llevado a cabo para atender la reclamación planteada. En síntesis, se realizaron las siguientes alegaciones:

- El representante/Delegado de Protección de datos del reclamado manifiesta en las alegaciones formuladas durante la tramitación del presente procedimiento que, con carácter general, los acuerdos que adoptan la Junta de Gobierno Local y el Pleno recogen el nombre y apellidos de los interesados, siendo tales acuerdos objeto de publicación en la página web municipal en cumplimiento de lo dispuesto en el artículo 7 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, que establece, que las Administraciones Públicas en el ámbito de sus competencias publicarán, entre otros extremos, sus acuerdos.

Según manifiestan, los acuerdos referidos al interesado publicados en la página web del Ayuntamiento no reflejan su D.N.I., por lo que la obligada publicación de tales acuerdos cumple lo establecido en la disposición adicional séptima de la LPDP.

Continúan diciendo que, el solicitante/reclamante no ha alegado nada para oponerse al tratamiento. Y, que la Junta de Gobierno Local acuerda por unanimidad denegar, por las razones expuestas, la solicitud del reclamante, sobre el derecho de oposición a la publicación de su nombre y apellidos dentro de las actas de la Junta de Gobierno Local que son publicadas en la página web del Ayuntamiento y, la supresión de las futuras publicaciones y de las pasadas.

- La parte reclamante se reafirma en lo ya expuesto y, presenta numerosa documentación respecto a diferentes publicaciones de otros casos ampliando la reclamación por la publicación sin autorización de sus datos médicos.

A saber: "...Como se puede comprobar, el personal del Excmo. Ayuntamiento de Yecla, ha publicado íntegramente el acuerdo, con mi solicitud y resolución, además del nombre completo. Han hecho público mi identidad como agente de la Policía Local, han relevado parte del contenido del informe médico del Servicio de Prevención de Vigilancia de la Salud..."

Concluye el reclamante denunciando que se ha hecho público su condición de policía local junto a su nombre completo, sus solicitudes y resoluciones a nivel individual y, parte de un informe médico que recomienda un cambio de puesto. Añadiendo que todo esto perjudica gravemente sus legítimos intereses.

FUNDAMENTOS DE DERECHO

PRIMERO: Es competente para resolver la Directora de la Agencia Española de Protección de Datos, conforme a lo establecido en el apartado 2 del artículo 56 en relación con el apartado 1 f) del artículo 57, ambos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, RGPD); y en el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD).

SEGUNDO: El artículo 64.1 de la LOPDGDD, dispone que:

"1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo siguiente.

En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación."

TERCERO: El artículo 12 del Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD), dispone lo siguiente:

"1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados."

CUARTO: El artículo 12 de la LOPDGDD determina lo siguiente:

"1. Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, podrán ejercerse directamente o por medio de representante legal o voluntario.

2. El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.

3. El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.

4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable.

5. Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se estará a lo dispuesto en aquellas.

6. En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.

7. Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica."

QUINTO: El artículo 17 del RGPD dispone que:

"1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

e) para la formulación, el ejercicio o la defensa de reclamaciones."

SEXTO: El artículo 21 del RGPD que hace referencia al derecho de oposición, dispone que:

"1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.

4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.

5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.

6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público."

SÉPTIMO: En el supuesto aquí analizado, la parte reclamante ejercitó su derecho de oposición/supresión y conforme a las normas antes señaladas, su solicitud no obtuvo la respuesta legalmente exigible.

El reclamante aporta el siguiente argumento:

"...Actas de la Junta de Gobierno

De conformidad con lo dispuesto en el artículo 70.1 de la Ley 7/1985, reguladora de las bases del régimen local, las sesiones de la Junta de Gobierno Local no son públicas y, de acuerdo con diferentes dictámenes e informes de la Agencia Española de Protección de Datos (AEPD), LAS ACTAS DE LAS SESIONES NO SE PUEDEN PUBLICAR EN LOS PORTALES WEB MUNICIPALES, sin contradecir la normativa reguladora de la protección de datos de carácter personal.

Es por ello, que la Agencia Española de Protección de Datos "AEPD" ha interpretado en numerosas ocasiones que es correcto dar "publicidad al contenido de las sesiones

del Pleno, pero en ningún caso de la Junta de Gobierno, añadiendo el régimen de publicación en los Boletines Oficiales de los acuerdos adoptados.

De este modo, únicamente sería conforme a la normativa sobre protección de datos, mediante su inclusión en Internet, cuando dichos datos se refieran a actos debatidos en

el Pleno de la Corporación o a disposiciones objeto de publicación en el correspondiente Boletín Oficial, dado que únicamente en estos supuestos la cesión se encontraría amparada, respectivamente, en una norma con rango de Ley o en el hecho de que los datos se encuentran incorporados a fuentes accesibles al público (...)

Con las limitaciones establecidas, la publicación de las actas de la Junta de Gobierno se podría realizar, en todo caso, publicando en el portar de transparencia municipal el Orden del Día y el Extracto de los acuerdos de la Junta de Gobierno Local, eliminando los datos de carácter personal susceptibles de protección.

A modo de conclusión, las Actas de la Junta de Gobierno, no se deben publicar, y de hacerlo se deberán eliminar todos los datos personales. Ahora bien, si el eliminar los datos de las actas, acarrea un esfuerzo desmesurado a la entidad local, la misma puede tomar la decisión de no publicarlas y no estaría vulnerando la Ley de Transparencia, ya que recordemos, que el Derecho a la Protección de los datos personales, es un Derecho Fundamental..."

Y, el reclamado tal y como hemos señalado en las alegaciones deniega el derecho argumentando que cumplen lo dispuesto en el artículo 7 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

"...Teniendo en cuenta que según se especifica en la Disposición adicional séptima de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDP), "cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente", especificándose además que "en ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo ..."

Desde esta Agencia tendremos que encontrar el equilibrio entre las diferentes normativas que afectan a las publicaciones de datos, teniendo en consideración la principal función de esta Agencia que es la protección de los datos y los derechos personalísimos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Por lo que, después de analizada toda la documentación entendemos que la publicación de sus datos personales en la web no es necesaria pudiéndose anonimizar.

Publicar con nombres y apellidos determinadas situaciones personales como la alta o baja médica, los cursos que se solicitan y se deniegan o las solicitudes de posibles

traslados, no tienen relevancia para ser publicadas en los medios digitales identificando a los interesados, pero sí vulneran la privacidad del individuo en cuestión, por lo que, se tendrán que anonimizar los datos de los interesados para que se proteja su intimidad y no se entre en conflicto con la Ley de transparencia.

Por tanto, el reclamado deberá tomar las medidas necesarias para proteger los datos sensibles, médicos, profesionales o de identidad de lo publicado en la página web.

Vistos los preceptos citados y demás de general aplicación,

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: ESTIMAR la reclamación formulada por D. A.A.A. e instar a AYUNTAMIENTO DE YECLA con NIF P3004300D, para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación en la que haga constar que ha atendido el derecho de supresión ejercido por éste o se deniegue motivadamente indicando las causas por las que no procede la supresión solicitada. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de la infracción tipificada en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdo con el art. 58.2 del RGPD.

SEGUNDO: NOTIFICAR la presente resolución a D. A.A.A. y a AYUNTAMIENTO DE YECLA.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.