Reclamación contra el ayuntamiento por facilitar a un tercero datos personales sin su consentimiento


AEPD 28/12/2020

Se interpuso reclamación contra un ayuntamiento por figurar datos personales de la reclamante en un informe elaborado por la alcaldía para un tercero.

La AEPD ordena el archivo del procedimiento al apreciar la prescripción de la posible infracción cometida, ya que transcurrieron más de 2 años desde la comisión de la infracción.

Agencia Española de Protección de Datos, Resolución, 28-12-2020

ANTECEDENTES DE HECHO

PRIMERO: La reclamación interpuesta por A.A.A. (en adelante, el reclamante) tiene entrada con fecha 10/03/2020 en la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE ***LOCALIDAD.1, con NIF P0925400D (en adelante, el reclamado). Los motivos en que basa la reclamación son que el 14/06/2018 ejerció el derecho de acceso de sus datos al reclamado, que le contestó el 10/07/2018. En la respuesta, no se designa expresamente que se haya producido ningún tipo de cesión de datos concreto. Reclama porque sus datos han sido cedidos a otra persona "de forma no acorde con la normativa vigente en Protección de Datos".

Aporta como evidencia un escrito del Ayuntamiento dirigido a una tercera persona, en modo de informe, fechado el 29/05/2018. En ese escrito, la Alcaldesa le comunica a otra persona a petición del mismo, diversos y diferentes datos del reclamante en cuanto a su explotación ovina, titularidad de una finca identificada con número de parcela y polígono del catastro de rustica, en el paraje que identifica.

Señala el reclamante que se "Ha incumplido sus obligaciones con respecto del derecho de acceso puesto que no han dado respuesta a las cuestiones planteadas y a los datos solicitados".

SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones. De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación el 5/06/2020 al reclamado, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

La respuesta de la reclamada indica que ese escrito con supuesta cesión de datos a terceros es de 29/05/2018, hace más de 2 años, fecha en la que ella, Alcaldesa, no estaba de alcalde y el secretario de entonces ya no está, por lo cual no puede analizar el contenido de la reclamación el motivo del informe que en su momento hicieron.

TERCERO: Con fecha 29/09/2020, la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada por el reclamante.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes de investigación y correctivos que el artículo 58 del Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para resolver estas actuaciones de investigación la Directora de la Agencia Española de Protección de Datos.

II

Señala en definiciones el RGPD, artículo 4:

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

El artículo 5.2 del RGPD indica: "El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)". En este caso, independientemente de que se sucedan los titulares (Alcaldes) en el cargo del reclamado, debe disponer de medidas para acreditar que el tratamiento de los datos de los que es responsable, la entidad, cumple los principios establecidos. Cualquier tratamiento ha de contar con una base legitima para llevarse a cabo.

El artículo 24 del RGPD señala: "Responsabilidad del responsable del tratamiento"

"1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario."

En consecuencia, el escrito, informe, en el que se comunican a otra persona los datos del reclamante, como tratamiento de datos efectuado, debe correlacionar una base legitima del tratamiento, alguna de las que se explican en el artículo 6.1 del RGPD que señala: "El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones". Usualmente, en petición de datos de terceros como en este caso podrían servir como bases: "que el tratamiento fuera necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;" (art 6.1.c) o considerarse fundado en el "cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el mismo RGPD, cuando derive de una competencia atribuida por la ley" (artículo 6.1e del RGPD y artículo 8.2 de la LOPDGDD).

III

En el presente supuesto, conociendo el reclamado, responsable del tratamiento sus obligaciones, se debe señalar, que a la fecha en que se remite el escrito al tercero, 29/05/2018, el RGPD estaba en vigor, por lo que habría que analizar en su caso la supuesta infracción objeto de la denuncia en su vertiente de exigibilidad de responsabilidad, dado el plazo de prescripción legal que tienen las eventuales infracciones para poder ser exigibles.

La presunta infracción, si lo fuera, podría hallarse como se ha señalado, amparada legalmente, pero se carece de la suficiente información, se produciría con la puesta en conocimiento de un tercero de los datos del reclamante.

En el momento de producirse el hecho, no se había dictado y no era de aplicación la LOPDGDDD, BOE 6/12 que entró en vigor el 7/12/2020. Previa a esta disposición, el también derogado por la LOPDGDD, Real Decreto-ley 5/2018, de 27/07, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos, establecía en su "disposición transitoria primera. Régimen transitorio de los procedimientos:

1. Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.

2. Lo dispuesto en el apartado anterior será asimismo de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, (LOPD) aprobado por Real Decreto 1720/2007, de 21 de diciembre."

La infracción de cesión o tratamiento sin base legitima supondría en su caso, bajo la aplicación de la LOPD, una infracción grave que tiene un plazo de prescripción de dos años, articulo 44.3.k: "La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave". "Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año" (artículo 47.1 LOPD).

La LOPDGDD establece en su artículo 72. "Infracciones consideradas muy graves"

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.

b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.

c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.

El Código Civil en su artículo 2.3 establece que "las leyes no tendrán efecto retroactivo, si no dispusieren lo contrario."

Por tanto, sin que se considere la LPDGDD más favorable, sino todo lo contrario, pues su aplicación retroactiva supondría contemplar una infracción que tenía al momento de su comisión aparejada dos años de prescripción, a tres años con la LOPDGDDD, vulnerándose el principio de legalidad sancionadora previsto en la Constitución Española en su artículo 9.3 que prohíbe la irretroactividad de las disposiciones sancionadoras no favorables.

Con independencia de que posiblemente existiera habilitación para la cesión de los datos por una supuesta petición a la que sea aplicable una base legitima, bien de trasparencia, o bien ejercicio de derecho legítimo en el curso de algún tipo de expediente, y señalando que podrían ser datos de un registro público catastral, la presunta infracción estaría prescrita desde los dos años de su presunta comisión, 29/05/2020, cuando se hallaba dentro del trámite de traslado.

No obstante, la reclamada debería tener en cuenta tales circunstancias para perfilar futuras actuaciones o completar las que considere convenientes.

Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.

SEGUNDO: NOTIFICAR la presente resolución al reclamante y reclamado.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas, y de conformidad con lo establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1/10, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.