Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 28/05/2024
Se interpone por un particular reclamación ante la AEPD contra un ayuntamiento al haber publicado este en su sede electrónica las listas provisionales de admitidos a procesos de empleo público incluyendo el DNI completo de varios aspirantes.
La AEPD considera que como consecuencia de la brecha de seguridad el DNI de aspirantes a los procesos selectivos habría quedado indebidamente expuesto a terceros, vulnerando del principio de confidencialidad, lo que supone una infracción de lo dispuesto en el art. 5.1.f) RGPD.
Asimismo, considera infringido el art. 32 RGPD dado que el tratamiento de los datos de carácter personal de los aspirantes a los procesos selectivos no ha ido acompañado de unas medidas de seguridad apropiadas.
Finalmente, la AEPD señala que el ayuntamiento ha infringido el art. 37 RGPD por incumplir la obligación de nombrar un delegado de protección de datos, hacer públicos sus datos de contacto y comunicarlo a la AEPD.
Por todo ello, la AEPD le concede al ayuntamiento el plazo de seis meses para nombrar un delegado de protección de datos y comunicarlo a la AEPD, así como para establecer las medidas necesarias para garantizar que la publicación de los datos de carácter personal de los aspirantes a procesos de empleo público, convocados por dicho ayuntamiento, respete lo dispuesto en la disp. adic. 7ª LOPD 2018, relativa a la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.
Número de documento: EXP202304061
Fecha de documento: 28/05/2024
Artículo infringido: Artículo 37 del RGPD
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
PRIMERO:
A.A.A. (en adelante, la parte reclamante) con fecha 5 de febrero de 2023 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE BENAVIDES con NIF P******** (en adelante, la parte reclamada o el Ayuntamiento). Los motivos en que basa la reclamación son los siguientes:
El 05/02/23 la parte reclamante publicó en el tablón de anuncios de la Sede Electrónica del Ayuntamiento la Resolución de la Alcaldía aprobando la Lista provisional de admitidos y admitidas al proceso de selección- Expte. núm. ***EXPEDIENTE.1, (…). En dicha resolución obra el nombre, los apellidos y el DNI completo de la parte reclamante, así como el nombre, los apellidos y el DNI completo de otro aspirante.
El 06/02/23 la parte reclamante presentó un nuevo escrito ante la Agencia Española de Protección de Datos (AEPD) para comunicar que la resolución publicada el 05/02/23 había sido retirada. No obstante, indica que la parte reclamada había subido un nuevo archivo donde se recogían las listas provisionales de admitidos y excluidos de todos los procesos de estabilización en marcha, y de nuevo se publicaba su DNI completo (asociado a uno de los procesos en los que se encuentra inscrito).
Junto a la reclamación aportó:
• Resolución de la Alcaldía de fecha 5 de febrero de 2023 aprobando la Lista provisional de admitidos y admitidas al proceso de selección- Expte. núm. ***EXPEDIENTE.1, en el que se incluía sin censura el DNI completo de los aspirantes.
• Resolución de la Alcaldía Municipal de fecha 06.02.2023 por la que se aprueban provisionalmente las listas provisionales de admitidos y admitidas y excluidos y excluidas en los procesos de consolidación del empleo temporal del Ayuntamiento de Benavides (León), en la que de nuevo se publica el DNI completo sin censurar de varios aspirantes.
• Dos capturas de pantalla del Tablón de Anuncios de la Sede Electrónica del Ayuntamiento de fechas 5 y 6 de febrero de 2023.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), fue recogido en fecha 29/03/2023 como consta en el acuse de recibo que obra en el expediente.
Con fecha 03/04/2023 se recibe en esta Agencia escrito de respuesta, registrado el 04/04/2023. El Ayuntamiento remite un informe de 3 de abril de 2023, elaborado por ***PUESTO.1 del Ayuntamiento, en el que destaca que:
En el año 2020 la Excma. Diputación de León dio traslado al Ayuntamiento de Benavides de la resolución de designación de la persona nombrada Delegado de Protección de Datos (en adelante, DPD). Sin embargo, en el mes de noviembre del año 2022 el órgano provincial comunicó al Ayuntamiento la renuncia del titular de dicho cargo. Desde entonces el Ayuntamiento de Benavides sigue sin la figura del DPD, a pesar de que ser responsable y encargado del tratamiento de datos de carácter personal.
En un Ayuntamiento de un pequeño municipio, como es Benavides, las disposiciones de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) encajan difícilmente, o, en su caso, son de casi imposible cumplimiento.
***PUESTO.1 del Ayuntamiento ha de atender multitud de tareas de muy diversa índole, a lo que se añade la responsabilidad del tratamiento de la protección de datos, todo ello debido a la escasez de medios técnicos y personales.
En relación con el expediente objeto de reclamación, destaca lo siguiente:
El Ayuntamiento de Benavides se ha visto sometido a los procesos de empleo dispuestos en la Ley 20/2021, de 28 de diciembre, de medidas urgentes para la reducción de la temporalidad en el empleo público (16 procesos de estabilización de perfiles muy diversos).
Dichos procesos requieren numerosos trámites (elaboración y publicación de las bases generales y específicas, elaboración y publicación de las listas provisionales de admitidos y admitidas, así como de las definitivas, etc) que debe llevar a cabo ***PUESTO.1 del Ayuntamiento.
Admite que la resolución de la Alcaldía por la que se aprueba la lista provisional de admitidos y excluidos en todos los procesos de estabilización, se publicó sin observar la LOPDGDD, ya que en la misma figuraba el documento nacional de identidad íntegro de los/as aspirantes a las pruebas. Si bien destaca que, una vez detectada la irregularidad, se procedió a su retirada en un plazo inferior a 24 horas.
En relación con la brecha de datos personales:
• Resalta que ha afectado a 2 personas.
• El dato personal afectado sería el Documento Nacional de Identidad (DNI).
• En relación con las causas que han hecho posible la brecha de datos personales, indica que han tratado de aligerar los 16 procesos de estabilización, tal y como dispone la Ley 20/2021, uniéndose a dicha circunstancia, la acumulación con el resto de tareas administrativas.
• Considera que las consecuencias para las personas afectadas son escasas por no decir inexistentes (el número de reclamaciones ha sido de una), dado el escaso número de personas que accedieron al documento publicado en las pocas horas en las que la resolución se mantuvo habilitada.
Concluyendo que la incidencia de la publicación, más allá de la persona reclamante, ha sido nula.
• En relación con las medidas de seguridad, destaca:
“6.- Medidas de Seguridad de los tratamientos de datos personales adoptadas con anterioridad al incidente, así como la documentación acreditativa del Análisis de Riesgos que ha conllevado la implantación de dichas Medidas de Seguridad y, en su caso, copia de las Evaluaciones de Impacto de los tratamientos donde se ha producido la violación de seguridad de los datos personales.
Siempre se intentan adoptar las medidas adecuadas para el tratamiento de los datos de carácter personal, pero errores cometemos todos, (…).”
• Indica que no se ha comunicado la brecha de datos personales ni a las personas afectadas ni a la AEPD.
• En relación con las medidas a adoptar, resalta:
“10.- Medidas que piensa adoptar para que no se vuelva a producir un incidente similar en el futuro.
Se ha planteado (…) a la Alcaldía Municipal, reforzar con más personal la seguridad electrónica. Y ello siendo conscientes del problema de la escasez de medios en la Administración Local.”
TERCERO: Con fecha 5 de mayo de 2023, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: Con fecha 16 de enero de 2024, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), por:
-La presunta infracción del Artículo 5.1.f) del RGPD, tipificada en el artículo 83.5.a), y calificada como muy grave a efectos de prescripción en el artículo 72.1 a) de la LOPDGDD.
-La presunta infracción del Artículo 32 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 f) de la LOPDGDD.
-La presunta infracción del Artículo 37 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 v) de la LOPDGDD.
QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), la parte reclamada presentó escrito de alegaciones en el que, en síntesis, manifestaba que:
En el año 2022 la Excma Diputación de León comunicó al Ayuntamiento de Benavides la renuncia de la persona nombrada delegado de protección de datos de dicho Ayuntamiento.
Desde ese momento el Ayuntamiento sigue sin delegado de protección de datos, si bien es responsable o encargado del tratamiento.
El Ayuntamiento con una población de 2.400 personas cuenta con medios materiales, técnicos y humanos escasos para poder asumir todas las disposiciones de la LOPDGDD.
Enumera las funciones que asume quien ocupa el puesto de ***PUESTO.2 del Ayuntamiento, a las que se une la responsabilidad del tratamiento de datos personales.
***PUESTO.2 del Ayuntamiento suscribe el informe (…) del Ayuntamiento de Benavides y destaca que en la fecha de elaboración del escrito de alegaciones (30 de enero de 2024) continúa la misma situación descrita en el mismo.
En cuanto a las medidas a adoptar desde el Ayuntamiento para que no vuelva a producirse una nueva brecha de datos personales como la examinada en el futuro, destaca que se planteará (…) a la Alcaldía que solicite a la Excma Diputación de León el nombramiento de un delegado de protección de datos.
SEXTO: Con fecha 13 de marzo de 2024 se formuló propuesta de resolución, proponiendo:
“PRIMERO: Que por la Directora de la Agencia Española de Protección de Datos se declare que AYUNTAMIENTO DE BENAVIDES, con NIF P********, ha infringido lo dispuesto en:
- El Artículo 5.1.f) del RGPD, tipificada en el artículo 83.5.a), y calificada como muy grave a efectos de prescripción en el artículo 72.1 a) de la LOPDGDD.
- El Artículo 32 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 f) de la LOPDGDD.
- El Artículo 37 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 v) de la LOPDGDD.
SEGUNDO: Que por la Directora de la Agencia Española de Protección de Datos se ordene a AYUNTAMIENTO DE BENAVIDES, con NIF P********, que en virtud del artículo 58.2.d) del RGPD, en el plazo de seis meses, acredite haber procedido al cumplimiento de las siguiente medidas:
1. Nombramiento de un Delegado de Protección de Datos y comunicación de dicho nombramiento a la AEPD.
2. Establecer las medidas necesarias para garantizar que la publicación de los datos de carácter personal de los aspirantes a procesos de empleo público, convocados por dicho Ayuntamiento, respeta lo dispuesto en la disposición adicional séptima de la LOPDGDD.”
SÉPTIMO: Notificada la citada propuesta de resolución conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
PRIMERO: El Ayuntamiento de Benavides publicó en el tablón de anuncios de su Sede Electrónica la Resolución de Alcaldía aprobando la lista provisional de admitidos y admitidas al proceso de selección- Expte. núm. ***EXPEDIENTE.1 en la que figuraban el Documento Nacional de Identidad completo de los aspirantes junto con su nombre y apellidos.
El reclamante ha aportado junto con su reclamación dicha resolución, así como una captura de pantalla del tablón de anuncios de la Sede Electrónica del Ayuntamiento realizada el 5 de febrero de 2023 a las 10:09, en la que figura la mencionada Resolución de la Alcaldía.
Asimismo, en el expediente consta un certificado de la empresa “esPublico Gestiona” de fecha 6 de febrero de 2023 en el que se indica:
“CERTIFICADO DE PUBLICACIÓN EN EL TABLÓN DE ANUNCIOS
PRIMERO. Que la entidad Ayuntamiento Benavides tiene habilitada una sede electrónica con la plataforma «esPublico Gestiona» accesible a través de internet en la dirección https://aytobenavides.sedelectronica.es, y que cuenta con un espacio de Tablón de Anuncios.
SEGUNDO. Que de acuerdo con la información obrante en nuestros sistemas informáticos, el día 05/02/2023 se publicó en el tablón de anuncios el siguiente documento:
Documento: Resolución de Alcaldía aprobando la Lista provisional de admitid@s al proceso de selección- Expte. núm. ***EXPEDIENTE.1
CSV: ***CSV.1
Huella digital MD5: ***REFERENCIA.1
Huella digital SHA1: ***REFERENCIA.2
TERCERO. Que dicho documento ha estado publicado durante 0 días, y dejó de estarlo el 06/02/2023.” (el subrayado es nuestro).
SEGUNDO: La parte reclamada publicó en el tablón de anuncios de su Sede Electrónica la Resolución de Alcaldía de fecha 6 de febrero de 2023 por la que se aprueba la lista provisional de admitidos y admitidas y excluidos y excluidas en todos los procesos de estabilización del Ayuntamiento de Benavides.
En la dicha Resolución figuraban el Documento Nacional de Identidad completo de tres aspirantes junto con su nombre y apellidos, asimismo en el caso de otros dos aspirantes se publican más de cuatro cifras del DNI junto con su nombre y apellidos.
El reclamante ha aportado junto con su reclamación dicha resolución, así como una captura de pantalla del tablón de anuncios de la Sede Electrónica del Ayuntamiento realizada el 6 de febrero de 2023 a las 16:44, en la que figura la mencionada Resolución de la Alcaldía.
Por otra parte, el Ayuntamiento de Benavides reconoce dicha publicación:
En el informe del Ayuntamiento de Benavides de fecha 3 de abril de 2023, elaborado en contestación al traslado y solicitud de información de la AEPD, reconoce haber publicado el DNI completo de dos aspirantes a los procesos de consolidación de empleo temporal de dicho Consistorio:
“(…)
Centrándonos en el expediente ***EXPEDIENTE.2 de “(…)”, si bien es cierto que la primera resolución de la Alcaldía por la que se aprueba la lista provisional de admitidos y excluidos en todos los procesos de estabilización, resulta publicada sin observar la LO3/18, por cuanto se data íntegro el documento nacional de identidad de los/as aspirantes a las pruebas (…)” (el subrayado es nuestro).
TERCERO: El tratamiento de los datos de carácter de los aspirantes a los procesos de consolidación de empleo temporal del Ayuntamiento de Benavides personal objeto de la reclamación no habría ido acompañado de unas medidas de seguridad apropiadas.
En relación con esta cuestión, el informe de ***PUESTO.1 de fecha 3 de abril de 2023 destaca:
“6.- Medidas de Seguridad de los tratamientos de datos personales adoptadas con anterioridad al incidente, así como la documentación acreditativa del Análisis de Riesgos que ha conllevado la implantación de dichas Medidas de Seguridad y, en su caso, copia de las Evaluaciones de Impacto de los tratamientos donde se ha producido la violación de seguridad de los datos personales.
Siempre se intentan adoptar las medidas adecuadas para el tratamiento de los datos de carácter personal, pero errores cometemos todos, (…).”
CUARTO: El Ayuntamiento de Benavides reconoce no tener designado un Delegado de Protección de Datos.
En el informe de fecha 3 de abril de 2023, elaborado por ***PUESTO.1 del Ayuntamiento de Benavides, en contestación al traslado de la reclamación y solicitud e información por parte de la AEPD, se indica:
“En el año 2020 la Excma. Diputación de León da traslado a este Ayuntamiento de la resolución de designación de la persona nombrada delegado de la protección de datos en este Ayuntamiento. El órgano provincial en el mes de noviembre del año 2022 comunica la renuncia del titular de dicho cargo.
Desde entonces este Ayuntamiento sigue sin la figura del delegado de protección de datos, si bien sabemos que por disposición de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LO3/18, el Ayuntamiento es el responsable o encargado del tratamiento.” (el subrayado es nuestro).
Asimismo, en el escrito de 10 de mayo de 2023, firmado por la Alcaldesa del Ayuntamiento de Benavides, elaborado en contestación a una solicitud de información de la AEPD de 9 de mayo de 2023, se destaca:
“Que habiendo recibido escrito de fecha 10.05.2023, por el que esa Agencia se interesa por la designación del Delegado de Protección de Datos en el Ayuntamiento de Benavides.
Por medio del presente escrito se INFORMA que este Ayuntamiento no ha designado Delegado alguno.
Se nos escapan tales tareas, por el escaso número de empleados públicos municipales, y la amplitud excesiva de tareas municipales.” (el subrayado es nuestro).
Finalmente, en el escrito de alegaciones al acuerdo de inicio de fecha 30 de enero de 2024, se indica:
“En el año 2022 la Excmo Diputación de León comunica a este Ayuntamiento la renuncia de la persona nombrada delegado de la protección de datos de este Ayuntamiento. Desde entonces este Ayuntamiento sigue sin delegado de protección de datos. La ley 3/2018, 5 de diciembre, de Protección de Datos personales y garantía de derechos digitales, en adelante LO3/18 el Ayuntamiento es el responsable o encargado del tratamiento.” (el subrayado es nuestro).
I Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II Alegaciones al acuerdo de inicio
En su escrito de alegaciones al acuerdo de inicio de 30 de enero de 2024, el Ayuntamiento de Benavides indica, en síntesis, lo siguiente:
Desde el año 2022 (fecha en la que el DPD del Ayuntamiento renunció) el Ayuntamiento de Benavides no tiene DPD.
El Consistorio destaca la escasez de medios humanos, materiales y técnicos, con la consiguiente dificultad para asumir las competencias de gestión de la responsabilidad del tratamiento de datos personales.
***PUESTO.2 del Ayuntamiento suscribe el informe realizado en su día por su predecesora. Asimismo, indica que planteará a la Alcaldía que solicite a la Excma Diputación de León el nombramiento de un DPD.
En respuesta a las alegaciones presentadas por el Ayuntamiento de Bevanides en su escrito de 30 de enero de 2024, se señala que los apartados 1 y 7 del artículo 37 del RGPD disponen lo siguiente:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial;
(…)
7. El responsable o el encargado de tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.”
Asimismo, en los apartados 3, 5 y 6 del artículo 37 del RPGD, se prevé:
“3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
(…)
5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.”
En relación con esta cuestión, el artículo 34 de la LOPDGDD (Designación de un delegado de protección de datos), dispone:
“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 (...)
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en los que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.
Por tanto, la obligación legal existe y el Ayuntamiento de Benavides ha de cumplirla.
El Delegado de Protección de datos (DPD) es un asesor cualificado en materia de protección de datos de carácter personal. El Ayuntamiento, en su condición de responsable del tratamiento o, en su caso, de encargado del tratamiento, necesita contar con el asesoramiento del DPD.
III Cuestiones previas
El Ayuntamiento de Benavides, como cualquier otra entidad pública, está obligada al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -RGPD-, y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales -LOPDGDD- con respecto a los tratamientos de datos de carácter personal que realicen, entendiendo por dato de carácter personal, “toda información sobre una persona física identificada o identificable”.
Se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Asimismo, debe entenderse por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
El apartado primero de la Disposición adicional séptima de Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), con el título “Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos” prevé lo siguiente:
“1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.
Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente (…).”
Teniendo en cuenta lo anterior, el Ayuntamiento de Benavides habría tratado los datos de carácter personal de los aspirantes a los procesos de consolidación del empleo temporal del mencionado Ayuntamiento, en concreto, el nombre y dos apellidos y el Documento Nacional de Identidad o DNI.
El Ayuntamiento realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD:
“«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.”
El artículo 4 apartado 12 del RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” (en adelante brecha de seguridad o brecha de datos personales) como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
En el presente caso, consta una brecha de datos personales en las circunstancias arriba indicadas, categorizada como una brecha de confidencialidad que afectó a la confidencialidad de datos personales de varios aspirantes a los procesos de consolidación del empleo temporal del mencionado Ayuntamiento, al publicarse el DNI completo, sin censura, junto con el nombre y apellidos de varios aspirantes.
Según el GT29 se produce una “Violación de la confidencialidad” cuando se produce una revelación no autorizada o accidental de los datos personales, o el acceso a los mismos.
Hay que señalar que la identificación de una brecha de seguridad no implica la imposición de una sanción de forma directa por esta Agencia, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas.
IV Infracción del artículo 5.1 f) del RGPD
El artículo 5.1.f) del RGPD, Principios relativos al tratamiento, señala lo siguiente:
“1. Los datos personales serán:
(…)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.
En el caso examinado en este expediente sancionador, el reclamante afirma que el 5 de febrero de 2023, se publicó en la Sede Electrónica del Ayuntamiento de Benavides la Resolución de Alcaldía aprobando la Lista provisional de admitidos y admitidas al proceso de selección- Expte. núm. ***EXPEDIENTE.1, en el que se incluía sin censura el DNI completo de los aspirantes.
Dicha Resolución fue retirada el 6 de febrero de 2023. Sin embargo, en dicha fecha (6 de febrero de 2023) se publicó en la Sede Electrónica del Ayuntamiento de Benavides la Resolución de la Alcaldía Municipal de fecha 06.02.2023 por la que se aprueban provisionalmente las listas provisionales de admitidos y admitidas y excluidos y excluidas en los procesos de consolidación del empleo temporal del Ayuntamiento de Benavides (León) en la que de nuevo se publica el DNI completo sin censurar de varios aspirantes.
El reclamante ha aportado junto a su reclamación, ambas Resoluciones de la Alcaldía, así como dos capturas del Tablón de Anuncios de la Sede Electrónica del Ayuntamiento de fechas 5 y 6 de febrero de 2023.
El examen de la Resolución de Alcaldía aprobando la Lista provisional de admitidos y admitidas al proceso de selección- Expte. núm. ***EXPEDIENTE.1, publicada el 5 de febrero de 2023, permite observar que en la misma se han publicado los nombres y apellidos de los dos aspirantes, junto con el DNI íntegro de ambos.
Por otra parte, la Resolución de la Alcaldía Municipal de fecha 06.02.2023 por la que se aprueban provisionalmente las listas provisionales de admitidos y admitidas y excluidos y excluidas en los procesos de consolidación del empleo temporal del Ayuntamiento de Benavides (León) no se ha elaborado cumpliendo con lo dispuesto en el apartado primero de la Disposición adicional séptima de la LOPDGDD, destacando tres casos (entre ellos, el reclamante) en los que se ha publicado el DNI íntegro, junto con el nombre y apellidos de los aspirantes y otros casos en los que se han publicado más de cuatro cifras del DNI de otros aspirantes.
En el informe del Ayuntamiento de Benavides de fecha 3 de abril de 2023, elaborado en contestación al traslado y solicitud de información de la AEPD, reconoce haber publicado el DNI completo de dos aspirantes a los procesos de consolidación de empleo temporal de dicho Consistorio:
“(…)
Centrándonos en el expediente ***EXPEDIENTE.2 de “(…)”, si bien es cierto que la primera resolución de la Alcaldía por la que se aprueba la lista provisional de admitidos y excluidos en todos los procesos de estabilización, resulta publicada sin observar la LO3/18, por cuanto se data íntegro el documento nacional de identidad de los/as aspirantes a las pruebas, hay que hacer mención de que esa publicidad se mantuvo, según certificado del sistema, durante cero (0) días, es decir por tiempo inferior a 24 horas. No obstante una vez conocedora (…) de tal irregularidad, procede inmediatamente a su cancelación – Ver certificado adjunto.
(…)
3.- Número de personas afectadas por la violación de seguridad de los datos personales. En el caso que trae causa a la reclamación trasladada, el número de ciudadanos afectados ha sido dos (2).
4.- Categoría de los datos personales involucrados. Los datos personales afectados se refieren exclusivamente al DNI.
(…)”
En el presente caso, la brecha de datos personales debe ser calificada de confidencialidad, dado que como consecuencia de la misma el DNI de aspirantes a los procesos de consolidación de empleo temporal del Ayuntamiento de Benavides habría quedado indebidamente expuesto a terceros, vulnerando del principio de confidencialidad. Circunstancia que supone una infracción de lo dispuesto en el artículo 5.1.f) del RGPD.
V Tipificación y calificación de la infracción del artículo 5.1 f) del RGPD
La citada infracción del artículo 5.1 f) del RGPD supone la comisión de una de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;”
A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.
A efectos del plazo de prescripción, el artículo 72 “Infracciones consideradas muy graves” de la LOPDGDD indica:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.”
VI Sanción por la infracción del artículo 5.1 f) del RGPD
El Artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD apartado 7 establece:
“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”
Asimismo, el artículo 77 “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente:
“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local (…)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
(…)”
A tenor de los hechos expuestos, se considera que corresponde imputar una sanción a la parte reclamada por la vulneración del artículo 5.1 f) del RGPD, tipificada en el Artículo 83.5 del RGPD. La sanción que corresponde imponer es la declaración de infracción.
VII Infracción del artículo 32 del RGPD
Establece el artículo 32 del RGPD, seguridad del tratamiento, lo siguiente:
“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (El subrayado es nuestro).
(…)
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo las instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.”
Por su parte, el considerando 74 del RGPD dispone lo siguiente:
“Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.”
En este sentido, el considerando 75 del RGPD enumera una serie de factores o supuestos asociados a riesgos para los derechos y libertades de los interesados: (el subrayado es nuestro)
“Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.”
El artículo 32 del RGPD no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.
En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
En el caso analizado en este expediente, el tratamiento de los datos de carácter de los aspirantes a los procesos de consolidación de empleo temporal del Ayuntamiento de Benavides personal no habría ido acompañado de unas medidas de seguridad apropiadas.
En relación con las medidas de seguridad, el informe de ***PUESTO.1 de fecha 3 de abril de 2023 destaca:
“6.- Medidas de Seguridad de los tratamientos de datos personales adoptadas con anterioridad al incidente, así como la documentación acreditativa del Análisis de Riesgos que ha conllevado la implantación de dichas Medidas de Seguridad y, en su caso, copia de las Evaluaciones de Impacto de los tratamientos donde se ha producido la violación de seguridad de los datos personales.
Siempre se intentan adoptar las medidas adecuadas para el tratamiento de los datos de carácter personal, pero errores cometemos todos, (…).”
En consecuencia, no se ha acreditado que el Ayuntamiento de Benavides haya realizado un análisis de riesgos relativo a la publicación de datos de carácter personal de los aspirantes a los procesos de empleo público convocados por dicho Ayuntamiento.
Tampoco consta la existencia de un procedimiento interno aprobado por el Ayuntamiento de Benavides, que prevea el modo de publicar los datos de carácter personal de los aspirantes a procesos de empleo público convocados por dicho Ayuntamiento, respetando lo dispuesto en la Disposición adicional séptima de la LOPDGDD.
Se considera que los hechos conocidos son constitutivos de una infracción, imputable al Ayuntamiento, por vulneración del artículo 32 del RGPD.
VIII Tipificación y calificación de la infracción del artículo 32 del RGPD
La citada infracción del artículo 32 del RGPD supone la comisión de una de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)”
A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.
A efectos del plazo de prescripción, el artículo 73 “Infracciones consideradas graves” de la LOPDGDD indica:
“En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(…)
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.(…)”
IX Sanción por la infracción del artículo 32 del RGPD
Esta Agencia se remite al contenido del Artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD apartado 7 y al contenido del artículo 77 de la LOPDGDD “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento”, reproducidos en el fundamento de derecho VI de esta resolución “Sanción por la infracción del artículo 5.1 f) del RGPD”.
A tenor de los hechos expuestos, se considera que corresponde imputar una sanción a la parte reclamada por la vulneración del Artículo 32 del RGPD, tipificada en el Artículo 83.4 del RGPD. La sanción que corresponde imponer es la declaración de infracción.
X Infracción del artículo 37 del RGPD
Las Administraciones Públicas actúan como responsables del tratamiento de datos de carácter personal y, en ocasiones, ejercen funciones de encargados del tratamiento por lo que les corresponde, siguiendo el principio de responsabilidad proactiva, atender las obligaciones que el RGPD detalla, entre las que se incluye la de nombrar un delegado de protección de datos, hacer públicos sus datos de contacto y comunicarlo a la AEPD.
Los apartados 1 y 7 del artículo 37 del RGPD se refieren a esas obligaciones y establecen, respectivamente:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial;
(…)
7. El responsable o el encargado de tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.”
Sobre la designación del delegado de protección de datos los apartados 3 y 5 el artículo 37 del RGPD señalan que:
“3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
(…)
5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.”
Por su parte, la LOPDGDD dedica el artículo 34 a la “Designación de un delegado de protección de datos”, precepto que dispone:
“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 (...)
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en los que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.
En el informe de fecha 3 de abril de 2023, elaborado por ***PUESTO.1 del Ayuntamiento de Benavides, en contestación al traslado de la reclamación y solicitud e información, se indica:
“En el año 2020 la Excma. Diputación de León da traslado a este Ayuntamiento de la resolución de designación de la persona nombrada delegado de la protección de datos en este Ayuntamiento. El órgano provincial en el mes de noviembre del año 2022 comunica la renuncia del titular de dicho cargo.
Desde entonces este Ayuntamiento sigue sin la figura del delegado de protección de datos, si bien sabemos que por disposición de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LO3/18, el Ayuntamiento es el responsable o encargado del tratamiento.” (el subrayado es nuestro).
Asimismo, en el escrito de 10 de mayo de 2023, firmado por la Alcaldesa del Ayuntamiento de Benavides, elaborado en contestación a una solicitud de información de la AEPD de 9 de mayo de 2023, se destaca:
“Que habiendo recibido escrito de fecha 10.05.2023, por el que esa Agencia se interesa por la designación del Delegado de Protección de Datos en el Ayuntamiento de Benavides.
Por medio del presente escrito se INFORMA que este Ayuntamiento no ha designado Delegado alguno.
Se nos escapan tales tareas, por el escaso número de empleados públicos municipales, y la amplitud excesiva de tareas municipales.” (el subrayado es nuestro).
Finalmente, en el escrito de alegaciones al acuerdo de inicio de fecha 30 de enero de 2024, se indica:
“En el año 2022 la Excmo Diputación de León comunica a este Ayuntamiento la renuncia de la persona nombrada delegado de la protección de datos de este Ayuntamiento. Desde entonces este Ayuntamiento sigue sin delegado de protección de datos. La ley 3/2018, 5 de diciembre, de Protección de Datos personales y garantía de derechos digitales, en adelante LO3/18 el Ayuntamiento es el responsable o encargado del tratamiento.” (el subrayado es nuestro).
En consecuencia, el Ayuntamiento de Benavides no tiene designado Delegado de Protección de Datos, a pesar de ser responsable o encargado del tratamiento.
Tal y como se ha indicado, el RGPD dispone que el responsable y encargado de tratamiento deberán designar un DPD en el caso de que “el tratamiento lo lleve a cabo una autoridad u organismo público”, así como “publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.”
Los hechos conocidos son constitutivos de una infracción, imputable al Ayuntamiento de Benavides por vulneración del artículo 37 del RGPD, “Designación del delegado de protección de datos”.
XI Tipificación y calificación de la infracción
La citada infracción del artículo 37 del RGPD supone la comisión de una las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)”
A este respecto, la LOPDGDD, en su artículo 71 “Infracciones” establece que “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.
A efectos del plazo de prescripción, el artículo 73 “Infracciones consideradas graves” de la LOPDGDD indica:
“En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”
XII Sanción por la infracción del artículo 37 del RGPD
Esta Agencia se remite al contenido del Artículo 83 “Condiciones generales para la imposición de multas administrativas” del RGPD apartado 7 y al contenido del artículo 77 de la LOPDGDD “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento”, reproducidos en el fundamento de derecho VI de esta resolución “Sanción por la infracción del artículo 5.1 f) del RGPD”.
A tenor de los hechos expuestos, se considera que corresponde imputar una sanción a la parte reclamada por la vulneración del Artículo 37 del RGPD, tipificada en el Artículo 83.4 del RGPD. La sanción que corresponde imponer es la declaración de infracción
XIII Adopción de medidas
Al haberse confirmado las infracciones, procede imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá “d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado”.
Se advierte que no atender la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos:
PRIMERO: DECLARAR que AYUNTAMIENTO DE BENAVIDES, con NIF P********, ha infringido lo dispuesto en
- El Artículo 5.1.f) del RGPD, tipificada en el artículo 83.5.a), y calificada como muy grave a efectos de prescripción en el artículo 72.1 a) de la LOPDGDD.
- El Artículo 32 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 f) de la LOPDGDD.
- El Artículo 37 del RGPD, tipificada en el artículo 83.4 a), y calificada como grave a efectos de prescripción en el artículo 73 v) de la LOPDGDD.
SEGUNDO: ORDENAR a AYUNTAMIENTO DE BENAVIDES, con NIF P********, que en virtud del artículo 58.2.d) del RGPD, en el plazo de seis meses desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las siguientes medidas:
1. Nombramiento de un Delegado de Protección de Datos y comunicación de dicho nombramiento a la AEPD.
2. Establecer las medidas necesarias para garantizar que la publicación de los datos de carácter personal de los aspirantes a procesos de empleo público, convocados por dicho Ayuntamiento, respeta lo dispuesto en la disposición adicional séptima de la LOPDGDD.
TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE BENAVIDES.
CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos