Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 13/01/2022
Se interpone reclamación ante la AEPD contra un ayuntamiento por el acceso indiscriminado y libre de los concejales del ayuntamiento a los documentos que se adjuntan en las inscripciones de los registros generales de entrada y salida del consistorio.
La AEPD señala que dicho acceso vulnera la normativa de protección de datos, ya que un concejal del ayuntamiento tuvo acceso a una solicitud del reclamante pese a que ello no era necesario para el ejercicio de sus funciones, lo cual supone una infracción del art. 5.1.c) RGPD.
Pese a que el ayuntamiento ha reconocido los hechos y ha manifestado que se han adoptado medidas para invalidar el libre acceso al registro general, la AEPD acuerda imponerle una sanción de apercibimiento.
PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 27 de julio de 2020 interpuso reclamación ante la Agencia Española de Protección de Datos.
La reclamación se dirige contra AYUNTAMIENTO DE ***AYUNTAMIENTO.1 con CIF ***CIF.1 (en adelante, la parte reclamada).
El motivo en que basa la reclamación es que los concejales del citado ayuntamiento tienen acceso general e indiscriminado a los documentos del Registro de entrada del Ayuntamiento.
El reclamante afirma conocer los hechos cuando en el Pleno Ordinario del Municipio de ***AYUNTAMIENTO.1 de 30 de enero de 2020, se puso de manifiesto que todos los concejales de la corporación disponen de libre acceso al registro de entradas y salidas del Ayuntamiento, haciendo incluso referencia expresa a números de registro de cuestiones ajenas a sus respectivos ámbitos de gestión o competencia.
El 16 de julio de 2020 una concejala de la corporación confirma los citados accesos, y reconoce haber accedido a una solicitud presentada por el reclamante.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), el 25 de septiembre de 2020 se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
No se ha recibido respuesta a este escrito.
TERCERO: Con fecha 9 de diciembre de 2020 la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada por la parte reclamante.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos:
Con fecha 15 de junio de 2021, la parte reclamada remite a esta Agencia la siguiente información y manifestaciones:
1. Que la controversia viene suscitada por la situación creada con motivo de la moción presentada por todos los concejales de la oposición del Ayuntamiento de ***AYUNTAMIENTO.1, donde se solicita se les facilite acceso al contenido íntegro de los Registros de Entrada del Ayuntamiento, que fue aprobada en Sesión Plenaria de fecha 30 de enero de 2020.
Aporta Acta de la Sesión ordinaria, celebrada por el Pleno el 30 de enero de 2020 donde consta:
"Sometida a votación la Moción, la Corporación por ocho votos a favor (1 del PSOE, 2 de UNPA, 2 de ***AYUNTAMIENTO.1 Puede, 1 de VOX, 1 de IU-RPS y 1 del concejal no adscrito), y con siete abstenciones (4 del PP y 3 de Ciudadanos), acordó:
Poner a disposición de los concejales de la oposición el acceso inmediato a todos y cada uno de los Registros de entrada y salida existentes en los diferentes Departamentos del Ayuntamiento, exactamente igual al actual acceso que ahora tienen al Registro General de entradas y salidas, para conocer todos y cada uno de los escritos que se reciben y despachan en el Consistorio, con el fin de realizar su labor de control y fiscalización, que como Concejales de la oposición tienen encomendada, de una forma completa y sin sesgos."
Aporta Acta de la Sesión extraordinaria, celebrada por el Pleno el 20 de julio de 2020 donde consta:
"PRIMERO. Aprobación de la puesta a disposición de los concejales que no forman parte del equipo de gobierno el acceso, en el plazo máximo de una semana desde la celebración del pleno, a todos y cada uno de los registros de entrada y salida existentes en los diferentes departamentos del Ayuntamiento.
Los proponentes aceptan que sea A excepción de los registros auxiliares de Rentas y Recaudación, como se indica en el Informe de Secretaría. Seguidamente, abierto el turno de intervenciones, se suceden las que constan en el audio de la sesión, que se encuentra en el expediente.
Sometido a votación la Corporación por nueve votos a favor (3 del PSOE, 2 de UNPA, 2 de ***AYUNTAMIENTO.1 Puede, 1 de VOX y 1 de IU-Republicanos), y ocho en contra (4 del PP, 3 de Ciudadanos y 1 del Concejal no adscrito), acordó la puesta a disposición de los concejales que no forman parte del equipo de gobierno el acceso, en el plazo máximo de una semana desde la celebración del pleno, a todos y cada uno de los registros de entrada y salida existentes en los diferentes departamentos del Ayuntamiento, a excepción de los registros auxiliares de Rentas y Recaudación."
2. Que se han elaborado dos informes contradictorios en cuanto a sus recomendaciones. En el primer informe, del DPD, se opone a este acceso masivo y que indica que el acceso inicial de los Concejales se debe ceñir al asunto y número de expediente, eliminado de esta primera consulta la posibilidad de acceder a cualquier datos personales. Que en el segundo informe redactado por la Sra. Secretaria general y siguiendo las recomendaciones de la Consultora ESPUBLICO, justifica la necesidad de tal acceso indiscriminado, al objeto de que los concejales puedan hacer su trabajo.
Se aporta copia de informe del DPD fechado y firmado a 10/03/2020 donde consta como conclusión que:
"[...] este acceso se debe ceñir (en un primer momento) al asunto y número de expediente, eliminando de esta lista todos los datos personales del interesado.
Con posterioridad, el concejal, y sobre las cuestiones que considere, deberá dirigir escrito a la Alcaldía identificando por su número el expediente al que solicita acceso y la causa de su interés, de manera que, previa ponderación de la necesidad, el Alcalde acceda o deniegue el mismo, siempre de manera motivada. [...]"
Se aporta copia de informe de la Secretaría General fechado y firmado a 06/03/2020 donde consta como conclusión que:
"V CONCLUSIONES
1 . Actualmente los concejales de la oposición tienen acceso electrónico a los Registros Generales de Entrada y Salida, la propuesta de acuerdo es que lo tengan también al resto de Registros auxiliares del Ayuntamiento: Cultura, Recaudación, Rentas, Urbanismo, Secretaría y Personal.
2. Los Registros auxiliares de Recaudación y Rentas, podrían tener un régimen específico si contienen datos tributarios, sometidos a las limitaciones previstas en la Ley General Tributaria. art. 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria (LGT), que en su apartado 1. señala que: "Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos. " Lo que no impide que pueda solicitarse acceso a los expedientes concretos de estas materias, en los términos de los artículos 14 a 16 del ROF.
3. Al considerar al concejal de la oposición como "cesionario" de datos protegidos, se le está considerando "tercero", cuando forma parte de la Administración pública (autoridades, funcionarios y empleados) que utilizan los datos personales de los ciudadanos en sus funciones y trabajos diarios.
4. La ley 39/2015, establece el derecho y obligación de relacionarse electrónicamente con las Administraciones Públicas.
5. En todo caso, debe recordarse que los concejales que accedan a esa información sólo podrán utilizar los datos en el ámbito de sus competencias, toda vez que éste es el límite establecido en la Ley de Bases de Régimen Local.
No obstante, y de conformidad con el principio de limitación de la finalidad, del artículo 5.1 .b) del RGPD, los datos deben tratarse para el control de la actividad del ente de la Administración Local correspondiente, ya que otro uso sería incompatible con dicho fin, no pudiente dar publicidad a esos datos ni comunicárselos a ningún tercero.
Por tanto, se informa favorablemente la aprobación de la puesta a disposición de los concejales que no forman parte del equipo de gobierno del acceso, a todos y cada uno de los registros de entrada y salida existentes en los diferentes departamentos del Ayuntamiento, a excepción de los de Recaudación y Rentas sólo podrán ser utilizados para la efectiva aplicación de los tributos."
3. Aporta copia de un correo electrónico remitido por el Alcalde en fecha 09 de junio de 2021 y enviado a ***EMAIL.1, donde consta que:
"[...] Al principio de la Legislatura, manifesté la intención de dar acceso a la Oposición a los diferentes registros de entrada, salida y Decretos. Tras superar la mitad de la misma, queda patente que no se ha cumplido, por parte de algunos concejales, con el deber de sigilo y la responsabilidad en cuanto al tratamiento de la información, lo que ha provocado que algunos vecinos hayan presentado quejas e incluso denuncias. Incluso, tenemos abierto un proceso judicial pendiente aún de resolución o sentencia por un caso similar.
Por todo ello y de una manera definitiva, serán remitidos a la Agencia cuantos informes y procesos se consideren que han de ser necesarios, para establecer en esta y en futuras situaciones, el acceso y la forma del tratamiento de la información con respecto a los Registros por parte de los Concejales.
Por el momento, los registros de entrada y salida que consideren que han de ser aclarados, han de seguir la norma que se da en el ROF, justificando su necesidad y la información solicitada, de forma telemática. Así mismo, serán remitidos los Decretos a todos los Concejales cada quincena, comenzando con la última de Mayo y continuando con Junio, hasta tener el correspondiente informe de la Agencia, a fin de cumplir la Ley lo más escrupulosamente necesaria para el desarrollo y la seguridad de todos los integrantes de la Corporación y nuestros vecinos."
4. En cuanto al acceso a los registros de Entrada y Salida por los concejales manifiesta en un informe emitido de la Concejalía de Nuevas Tecnologías de fecha 14/06/2021:
"Políticos con responsabilidades de gobierno: que tienen acceso a los registros generales de entrada y salida y a los registros auxiliares en función de sus responsabilidades delegadas, por ejemplo, al registro de personal, solo tiene acceso el alcalde."
"Políticos sin responsabilidades de gobierno (oposición): Tienen acceso a la aplicación desde un servidor web, lo que quiere decir que pueden acceder desde cualquier sitio y dispositivo a los libros de registro de entrada y salida. Actualmente de los libros de entrada y salidas pueden consultar la referencia (titulo), fecha y numero de registro y en caso de necesitar ampliar información deben cursar una solicitud por registro de entrada indicando nº registro solicitado y finalidad de la solicitud."
Con fecha 17 de septiembre de 2021 AYUNTAMIENTO DE ***AYUNTAMIENTO.1 remite a esta Agencia la siguiente información y manifestaciones:
1. Que, desde el inicio del mandato de esta Corporación, los concejales de la oposición tenían acceso a los Registros Generales de Entrada y Salida. Estos accesos comprendían los diferentes listados y el documento concreto de Entrada o Salida. Que no tenían acceso a algunos registros especiales como Personal, Urbanismo y Recaudación.
2. Que, debido a la denuncia de un vecino, al parecer, por la difusión por algún concejal de datos del Registro General de Entrada, a partir del 1 de junio de 2021, el Alcalde ordenó que se invalidasen esos accesos y desde esa fecha los Concejales de la oposición pueden ver los listados del Registro de Entrada y Salida pero no tienen acceso a los documentos. Deben solicitar expresamente los documentos de Entrada y Salida que necesitan conocer para ejercer su labor de oposición y se les facilitan previa resolución de Alcaldía.
3. Que desde el día 1 de agosto de 2019 la Concejal de VOX ha efectuado acciones sobre el sistema de gestión de registros y documentos del Ayuntamiento de ***AYUNTAMIENTO.1. Que ninguna de esas acciones corresponde con ningún registro ni documento relativo a entradas del reclamante.
QUINTO: Con fecha 15 de octubre de 2021, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, por la presunta infracción del Artículo 5.1.c) del RGPD, tipificada en el Artículo 83.5 del RGPD.
SEXTO: Transcurrido el plazo otorgado para la formulación de alegaciones al acuerdo de inicio del procedimiento, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.
El artículo 64.2.f) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante LPACAP) -disposición de la que se informó a la parte reclamada en el acuerdo de apertura del procedimiento-establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría imponerse. Por ello, tomando en consideración que la parte reclamada no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS
PRIMERO: Los concejales del citado ayuntamiento tienen acceso general e indiscriminado a los documentos del Registro de entrada del Ayuntamiento.
SEGUNDO: Con fecha 18 de octubre de 2021, se notifica al reclamado el acuerdo de inicio de este procedimiento, convirtiéndose dicho acuerdo en propuesta de resolución de conformidad con los artículos 64.2.f) y 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), al no efectuar el reclamado alegaciones en el plazo indicado.
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.
El artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
El RGPD en su artículo 5, "Principios relativos al tratamiento" dice que "Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)."
La infracción de la que se responsabiliza al reclamado está prevista en el artículo 83.5 del RGPD que establece:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 Eur como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5,6,7 y 9."
A su vez, la LOPDGDD en su artículo 72.1.a) califica de infracción muy grave, a efectos de prescripción, "a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679."
III
La LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica".
IV
En virtud de lo establecido en el artículo 58.2 del RGPD, la Agencia Española de Protección de Datos, en cuanto autoridad de control, dispone de un conjunto de poderes correctivos en el caso de que concurra una infracción a los preceptos del RGPD.
El artículo 58.2 del RGPD dispone lo siguiente:
"2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
(...)
b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;"
(...)
"d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;"
"i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;"
V
En el presente caso, como consecuencia del acceso indiscriminado y libre de los concejales del ayuntamiento objeto de la presente reclamación, a los documentos que se adjuntaban en las inscripciones de los registros generales de entrada y salida del citado consistorio, se ha infringido la normativa de protección de datos, ya que un concejal del ayuntamiento reclamado ha tenido acceso a una solicitud del reclamante pese a que ello no era necesario para el ejercicio de sus funciones, lo cual supone una infracción del artículo 5.1 c) del RGPD, tal y como se ha indicado en el fundamento de derecho II.
El ayuntamiento objeto de conflicto, ha reconocido los hechos y se ha dirigido a esta Agencia manifestando que a partir del 1 de junio de 2021, se han adoptado medidas de manera que se ha procedido a invalidar el libre acceso al registro general de este ayuntamiento desde esa fecha, de manera que los concejales de la oposición sólo podrán acceder a los documentos obrantes para ejercer su labor de oposición, previa resolución de la Alcaldía.
Pese a ello, esta Agencia va a dirigir un apercibimiento contra el ayuntamiento, por los datos personales que con carácter previo a la medida adoptada por el citado ayuntamiento el 1 de junio de 2021, se trataron contraviniendo el artículo 5.1 c) RGPD, que regula el principio de minimización de datos, estableciendo que no pueden tratarse más datos que los estrictamente necesarios para la finalidad perseguida, debiendo por tanto los datos ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados".
No obstante, se dirigirá un apercibimiento sin necesidad de adoptar medidas por parte del reclamado, pues ya se ha procedido a adoptar las medidas necesarias para subsanar la dolencia que provocó la presente reclamación.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos
PRIMERO: IMPONER a AYUNTAMIENTO DE ***AYUNTAMIENTO.1, con CIF ***CIF.1, por una infracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5 del RGPD, una sanción de apercibimiento.
SEGUNDO: REQUERIR a AYUNTAMIENTO DE ***AYUNTAMIENTO.1, con CIF ***CIF.1, al amparo de lo dispuesto en el artículo 58.2 d) del RGPD, que adopte las medidas necesarias para cumplir con el principio de minimización de datos regulado en el artículo 5.1 c) del RGPD.
Dichas medidas se han de adoptar en el plazo de un mes computado desde la fecha en la que se le notifique esta resolución sancionadora, debiendo aportarse los medios de prueba acreditativos de su cumplimiento.
TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE ***AYUNTAMIENTO.1.
CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [<https://sedeagpd.gob.es/sede-electronica-web/%5D,>web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.