Reclamación a ayuntamiento por no disponer de protocolo para la protección de datos personales


AEPD 22/01/2021

Se interpuso reclamación contra un ayuntamiento por no facilitar información sobre el protocolo de actuación que deben seguir los empleados públicos en el tratamiento de datos personales.

Asimismo, por no tener designado un delegado de protección de datos.

La AEPD ordena el archivo del procedimiento al aportar el ayuntamiento la información reclamada. En esta documentación es donde se demuestra que se ha adjudicado el puesto de delegado de protección de datos a una empresa concesionaria.

Agencia Española de Protección de Datos, Resolución, 22-01-2021

HECHOS 

 

PRIMERO: La reclamación interpuesta el 26/09/2019 por A.A.A. (que manifiesta ser el portavoz de la Junta de Personal y del Comité de Empresa en la sede del reclamado, en adelante, el reclamante) se dirige contra AYUNTAMIENTO DE ***LOCALIDAD.1, con NIF P2805400E (en adelante, el reclamado). Los motivos en que basa la reclamación son que consideran que ejercen una labor de vigilancia en el cumplimiento de las normas en materia laboral, de Seguridad Social y de empleo, y ante el tratamiento de datos que realiza, "consideran que están legitimados para obtener información sobre el cumplimiento de obligaciones legales en materia de Protección de Datos, así como el tratamiento qué efectúan sus empleados" y consideran que no se le has facilitado dicha información.

Para acreditarlo, aporta:

1) Escrito de solicitud de información al reclamado, registro entrada 28/01/2019, "en relación a la protección de los datos personales de los empleados municipales", la siguiente:

- "Sobre las medidas técnicas y organizativas de seguridad que aplica el reclamado".

- "En relación con las medidas de seguridad adoptadas, política de seguridad, incluyendo definición de roles y asignación de responsabilidades, plan de adecuación para mejora de seguridad, y documento de seguridad".

- "Persona que ha sido designada Delegado de Protección de Datos (DPD) así como la forma y la fecha en que lo ha sido."

2) Respuesta del reclamado con fecha 6/2/2019 en el que entre otras consideraciones, le indica que la Protección de Datos de los empleados está debidamente garantizada y que dado el escaso tiempo desde la vigencia de la LOPDGDD están llevando a cabo las adaptaciones de su desarrollo.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), el 5/11/2019 se dio traslado de dicha reclamación al reclamado, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

Con fecha 07/01/2020, el reclamado remite a esta Agencia la siguiente información y manifestaciones:

1. "La entrada en vigor de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantías de los Derechos Digitales ha coincidido con otro cambio legislativo fundamental para las administraciones públicas como la entrada en vigor de la Ley 9/2017, de Contratos del Sector Público."

2. "En este Ayuntamiento han decidido centrar los esfuerzos en adaptar sus procesos a la nueva Ley de Contratos. Que una vez cumplida esta misión están en disposición de afrontar los cambios que supone la Ley 3/2018."

3. "El Ayuntamiento se encuentra en estos momentos preparando los pliegos para dotarse de la figura (a través de una empresa externa) del Delegado de Protección de Datos y demás cumplimiento de la citada ley."

TERCERO: Con fecha 8/01/2020, la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada por el reclamante.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación relacionadas con la reclamación, plasmándose en el informe de 24/11/2020, teniendo conocimiento de los siguientes extremos:

- Con fecha 10/07/2020 se solicita información al reclamado, en esa ocasión:

"1. Avances en la aplicación del RGPD.

2. Registro de Actividades de Tratamiento.

2. Nombramiento de Delegado de Protección de Datos.

3. Política de seguridad.

4. Información a los empleados respecto al tratamiento de sus datos personales.

5. Formación facilitada a sus empleados.

6. Análisis de riesgos realizado y medidas de seguridad técnicas y organizativas empleadas.

El envío fue notificado en 13/07/2020.

Con fecha 11/08/2020, el reclamado remite a esta Agencia la siguiente información y manifestaciones:

"Ha sido nombrado Delegado de Protección de Datos del Ayuntamiento de ***LOCALIDAD.1."

Aporta documento fechado a 07/08/2020 y firmado por un representante, según manifiesta, de la empresa INSTITUTO DE PREVENCIÓN INTEGRAL, S.L.U. donde se manifiesta que el reclamado designa como Delegado de Protección de Datos a dicha empresa.

FUNDAMENTOS DE DERECHO I 

 

De acuerdo con los poderes de investigación y correctivos que el artículo 58 del Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la LOPDGDD, es competente para resolver estas actuaciones de investigación la Directora de la Agencia Española de Protección de Datos.

II

En primer lugar, hay que indicar que la documentación o la información sobre el modo de cumplimiento de la normativa en protección de datos solicitada por la representación sindical al responsable del tratamiento, con las especificidades que se señalaran, no son susceptibles de revisión por parte de esta AEPD, más allá de la información que se ofrece en este acuerdo, ya que se concreta el ámbito de aplicación a los datos titularidad de personas físicas, disponiendo la AEPD de las funciones que le encomienda el RGPD y la LOPDGDD.

En segundo lugar, el RGPD impone a los responsables del tratamiento para el desenvolvimiento de su actividad a través de operaciones de tratamiento de datos personales, unos principios fundamentales como son:

1) La responsabilidad "proactiva" es uno de los principios de protección de datos: lo hace responsable de cumplir con el RGPD y a la vez, impone la obligación de deber poder demostrar su cumplimiento efectivo. Es necesario implementar las medidas técnicas y organizativas adecuadas para cumplir con los requisitos de responsabilidad.

Hay una serie de medidas que puede, y en algunos casos debe, tomar, que incluyen: -adoptar e implementar políticas de protección de datos;

- adoptar un enfoque de "protección de datos por diseño y por defecto";

- establecer contratos escritos con organizaciones que tratan datos personales en su nombre;

- mantener la documentación de sus actividades de tratamiento; -implementar medidas de seguridad adecuadas;

- registrar y, cuando sea necesario, informar sobre violaciones de datos personales;

- llevar a cabo evaluaciones de impacto de protección de datos para usos de datos personales que puedan resultar en un alto riesgo para los intereses de las personas;

- nombrar un delegado de protección de datos; y

- adherirse a los códigos de conducta pertinentes y suscribirse a esquemas de certificación.

- Las obligaciones de rendición de cuentas están siempre en progreso, se deben revisar y, cuando sea necesario, actualizar las medidas que implementó.

Si implementa un marco de gestión de la privacidad, esto puede ayudar a integrar sus medidas de responsabilidad y crear una cultura de privacidad en toda su organización.

2) El RGPD recoge este principio en su artículo 5.2:

"El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 (principios del tratamiento entre los que se encuentra el modo en que han de ser tratados los datos, "de manera lícita, leal y transparente") capaz de demostrarlo («responsabilidad proactiva»). Ello implica que la entidad es la que asume su propia responsabilidad dirigiendo y coordinando la materia en cuanto al personal que le presta servicios. Con la presente normativa y bajo el principio de dirección como responsable del tratamiento, este debe prever que el tratamiento cumple la normativa aplicable, así como coordinar y dirigir la política referente al uso de los datos en su organización.

En el cumplimiento de dicho precepto, y sin que se contenga un listado especifico de actividades concretas a llevar a cabo sobre las tareas para acreditar el cumplimiento, bajo el principio de proactividad debe desplegar apropiadas medidas técnicas y organizacionales con el fin de cumplir dicho principio (artículo 24 del RGPD), encontrándose dentro del mismo además y entre otras, el de ser capaz de demostrar el cumplimiento. Entre las tareas que se pueden citar, se entienden incluidas, sin ánimo de exhaustividad:

- Documentar la base legitimadora del tratamiento de datos para poder demostrar cuál es la que se está aplicando en particular.

- Tener una robusta organización que coordine y estructure las obligaciones por parte del responsable del tratamiento, incluyendo la comunicación a las personas o entidades que han de ejecutar las operaciones de tratamiento que reporten en ambos sentidos, información al personal al que presta servicios y unifique las directrices sobre el tratamiento de datos.

- Establecer formación en la materia de protección de datos y nuevas tecnologías, a los profesionales a su servicio.

- Procedimientos de evaluación y valoración de riesgos, y adopción de medidas técnicas y organizativas que permitan eliminar o mitigar los daños que pudieran derivarse para los derechos y libertades de las personas.

- Procedimientos de seguimiento de la implementación de los tratamientos.

Se necesita pues un desenvolvimiento proactivo sobre la protección de los datos y guardar las evidencias de los pasos que se toman para cumplir con el RGPD junto a la circulación y vida de los datos.

3) En tercer lugar, otro principio que se deriva del artículo 25 del RGPD es el de la Protección de datos desde el diseño y por defecto, que incorpora a la normativa de protección de datos la práctica de considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios, confiriéndole la categoría de requisito legal al principio de integrar las garantías para la protección de los derechos y libertados de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo de sistemas y productos. La privacidad desde el diseño implica utilizar un enfoque orientado a la gestión del riesgo y de responsabilidad proactiva para establecer estrategias que incorporen la protección de la privacidad a lo largo de todo el ciclo de vida del objeto (ya sea este un sistema, un producto hardware o software, un servicio o un proceso).

Por su parte, la protección de datos por defecto estriba en que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento. Es decir, independientemente del conjunto de datos recogidos por el responsable con el objeto de implementar los distintos servicios que se proporcionan al sujeto de los datos, el responsable ha de compartimentar el uso del conjunto de datos entre los distintos tratamientos, de tal forma que no todos los tratamientos accedan a todos los datos, sino que actúen solo sobre aquellos que sean necesarios y en los momentos en que sea estrictamente necesario. Si fuera posible por la naturaleza del proceso, llegar incluso a que no se traten datos de carácter personal.

En particular, se destaca como uno de los principios de protección de datos por defecto que los datos no sean accesibles a un número indeterminado de personas físicas, sin la intervención del sujeto de los datos.

Además, debe tenerse en cuenta lo siguiente respecto a la protección de datos por defecto:

- Recogida de datos: analizar los tipos de datos que se recaban con un criterio de minimización en

función de los productos y servicios seleccionados por el usuario;

- Tratamiento de los datos: analizar los procesos asociados a dichos tratamientos para que se acceda a los mínimos datos personales necesarios para ejecutarlos;

- Conservación: implementar una política de conservación de datos que permita, con un criterio restrictivo, eliminar aquellos datos que no sean estrictamente necesarios;

- Accesibilidad: limitar el acceso por parte de terceros a dichos datos personales.

4) Por último, aunque no menos importante, se ha de mencionar otro principio relevante sería el cumplimiento de transparencia , en cuanto al derecho de información en la recogida de datos personales.

III

El Título X de la LOPDGDD que refiere algunas cuestiones que pueden relacionarse con cuestiones laborales, entremezcla derechos relacionados con la protección de datos de carácter personal con otros que no lo son. En este sentido, partiendo de la definición de "datos personales" contenida en el artículo 2 RGPD (toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona") pueden entenderse referidos a dichos datos los siguientes derechos:

- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89).

- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (Artículo 90)

- Derechos digitales en la negociación colectiva (artículo 91) en lo que se refiere al tratamiento de los datos personales.

- Protección de datos de los menores en internet (artículo 92)

- Derecho al olvido en búsquedas de Internet (artículo 93)

- Derecho al olvido en servicios de redes sociales y servicios equivalentes (Artículo 94).

Es de destacar que en todos estos ámbitos la AEPD ha venido ejerciendo sus competencias al tratarse de materias relacionadas con la protección de datos personales, habiendo sido pionera en alguno de ellos como en el reconocimiento jurisprudencial del derecho al olvido.

Por el contrario, el resto de los derechos son completamente ajenos a las competencias de la AEPD al no guardar relación con la protección de datos personales y referirse al ámbito de las telecomunicaciones y los servicios de la sociedad de la información, estableciendo las correspondientes obligaciones para los prestadores de servicios de la sociedad de la información, los proveedores de servicios de internet, responsable de redes sociales y medios de comunicación digitales, como ocurre en:

- Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (Artículo 87).

- Derecho a la desconexión digital en el ámbito laboral.(88)

El "considerando" 155 del RGPD establece: "El Derecho de los Estados miembros o los convenios colectivos, incluidos los «convenios de empresa», pueden establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación, la ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, la gestión, planificación y organización del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de la rescisión de la relación laboral."

En tal sentido, el artículo 88 el RGPD señala la posibilidad de establecer por norma o acuerdo especificaciones para la garantía del derecho.

El citado título 10 de la LOPDGDD incluye lo que se ha denominado carta de derechos digitales, y su contenido no se refiere a Protección de Datos salvo algunos artículos concretos mi complementa la norma básica europea sobre esta materia el Reglamento General de Protección de Datos. El artículo 2 de la LOPDGDD se ha dictado como consecuencia de la inclusión del Título X y que al regular el ámbito de aplicación de los Títulos I al IX y de los artículos 89 a 94 dispone que "Lo dispuesto en los títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero", con lo que el propio legislador está reconociendo que solo en los casos de los artículo 89 a 94 nos encontraríamos ante tratamientos de datos de carácter personal y, por ende, en el ámbito competencial de la AEPD.

Los artículos 87, 89 y 90 del RGPD se ocupan, respectivamente, de la intimidad en relación con el uso de dispositivos digitales, la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos, y la intimidad ante la utilización de sistemas de geolocalización. Ninguno de estos preceptos prohíbe el ejercicio de las medidas de control por parte del empresario, que le son reconocidas en el artículo 20 del Estatuto de los Trabajadores. Inciden en la necesidad de informar claramente al trabajador sobre dichos controles, como por otra parte, ya había determinado la jurisprudencia española y europea.

Finalmente, indicar, que puede incrementar la información consultando información como el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo adoptado el 8/06/2017, y en la página de la AEPD figura la guía "Protección de Datos y administración local".

Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de Protección de Datos,

 

SE ACUERDA:

PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.

SEGUNDO: NOTIFICAR la presente resolución al reclamante y reclamado.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y de conformidad con lo establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.