Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 12/10/2025
Un particular, profesional de la seguridad ofensiva, presenta reclamación contra un ayuntamiento alegando que un software de ticketing, utilizado para la venta de entradas y bonos al consumo, presentaba una vulnerabilidad que permitía acceder sin autenticación a los datos personales de cualquier comprador (incluyendo nombre, DNI, correo electrónico, teléfono y parte del número de tarjeta bancaria).
La AEPD señala que la vulnerabilidad expuso datos personales de usuarios a través de la manipulación de parámetros de la URL, y que el ayuntamiento, como responsable del tratamiento, no formalizó el contrato de encargo de tratamiento, tal como exigían los pliegos del contrato administrativo y la normativa de protección de datos.
Y afirma que la ausencia de dicho contrato de encargo, junto con la exposición no autorizada de datos personales, constituye una infracción del RGPD. Añade que la responsabilidad del ayuntamiento no se ve atenuada por el hecho de que la vulnerabilidad recaía en el software gestionado por el encargado, pues el responsable debe ejercer una supervisión y control proactivos, así como adoptar todas las medidas necesarias en materia de protección de datos.
Por ello, la AEPD declara que el ayuntamiento ha cometido una infracción de los arts. 5.1.f) (integridad y confidencialidad) y 28 (encargados de tratamiento) RGPD, le ordena formalizar el contrato de encargo de tratamiento y adoptar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad de los datos personales tratados. No obstante, archiva la infracción referida al art. 32 RGPD por no haberse acreditado la ausencia de otras medidas técnicas y organizativas independientes de la vulneración del principio de confidencialidad.
Número de documento: EXP202213444
Fecha de documento: 12/10/2025
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
PRIMERO: A.A.A. con NIF ***NIF.1 (en adelante, la parte reclamante) con fecha 13 de noviembre de 2022 presentó denuncia ante la Agencia Española de Protección de Datos.
El reclamante, que afirma dedicarse profesionalmente a la seguridad ofensiva, pone de manifiesto ciertas vulnerabilidades de un software de ticketing denominado JANTO, el cual se encuentra presente mediante un IFRAME en multitud de sitios web de venta de entradas a nivel nacional. La propietaria de dicho software es la empresa IMPRONTA SOLUCIONES S.L con NIF B*********** (en adelante, el IMPRONTA) la cuál es encargada del tratamiento de diversas entidades privadas y públicas, entre ellas, el AYUNTAMIENTO DE BURGOS, con NIF P0906100C.
Afirma en su escrito que, como usuario que adquirió una entrada en dichos portales, ha comprobado que los datos de cualquier persona que haya comprado una entrada a través del mencionado software de ticketing quedan expuestos sin ningún tipo de autenticación.
Sostiene que puso en conocimiento de tales circunstancias a IMPRONTA a través de correo preguntando, de forma adicional, si existía algún tipo de recompensas por su labor, no habiendo obtenido respuesta alguna.
Junto a la reclamación, se aportan los siguientes documentos:
- Capturas de pantalla correspondientes a diversos correos electrónicos conteniendo el remitido por el reclamante al delegado de protección de datos (DPD) del encargado del tratamiento, poniendo en conocimiento de las vulnerabilidades encontradas en el software y en los cuales se adjuntaba, asimismo, capturas de las presuntas evidencias de tales vulnerabilidades.
- Capturas de pantalla de presuntas evidencias de las vulnerabilidades detectadas y pruebas de las posibilidades de filtración de datos personales. Entre dichas capturas se encuentra un listado de usuarios que están han realizado compras de bonos al consumo del Ayuntamiento de Burgos. Adjunta comprobación de la posibilidad de obtener mediante el ID de operación, la referencia de compra y un contador, toda la información de la compra en el hosting que tiene IMPRONTA para albergar los bonos/entradas, entre los cuales se encuentra el DNI del comprador.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación al encargado del tratamiento, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
En fecha 19 de enero de 2023 y registro de entrada se recibe respuesta al traslado anterior por parte de IMPRONTA. El contenido de esta respuesta se analizará en el apartado referente a las actuaciones de investigación realizadas por la presente autoridad.
TERCERO: Con fecha 13 de febrero de 2023, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD.
QUINTO: En fecha 25/04/2024 se dictó resolución de caducidad por la Directora de la presente autoridad fundamentado en lo siguiente:
"En las presentes actuaciones, la investigación se ha evidenciado como un proceso de enorme complejidad tanto desde el punto de vista técnico, como por el volumen de documentación que debe ser objeto de análisis y estudio. Además, han ido apareciendo nuevas líneas de investigación que han de ser evaluadas, por lo que, se debe completar la investigación iniciada con nuevas actuaciones complementarias.
En consecuencia, dado que los hechos objeto de investigación no se encuentran prescritos, se dan instrucciones a la Subdirección General de Inspección de Datos para que inicie nuevas actuaciones de investigación."
SEXTO: En virtud de lo anterior, el 26/04/2024 se procedió por parte de la Subdirección General de Inspección de Datos la realización de nuevas actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las cuales se dictó el informe del cual destacaba lo siguiente:
El caso tiene como antecedente las actuaciones previas de investigación abiertas a raíz de reclamación recibida en esta Agencia contra la empresa responsable del software de ticketing (Software JANTO), utilizado por múltiples servicios y terceras empresas para la venta de entradas de actividades y eventos a través de internet. Tras las actuaciones previas de investigación realizadas se hace necesario decretar resolución de caducidad y abrir estas nuevas actuaciones previas de investigación. Siendo el presente informe complementario al de la actuación de investigación anterior.
Fecha de entrada de la reclamación: 13 de noviembre de 2022.
Reclamante: A.A.A. (en adelante, la parte reclamante)
Reclamado: AYUNTAMIENTO DE BURGOS en adelante, la parte reclamada) Hechos según manifestaciones de la parte reclamante: "Hechos según manifestaciones de la parte reclamante:
"La empresa IMPRONTA SOLUCIONES S.L (http://impronta.es) es propietaria de JANTO, un software de ticketing que está presente mediante un IFRAME en multitud de sitios web de venta de entradas a nivel nacional, resaltando las siguientes, que cobran especial importancia al tratarse de bancos:
- https://entradas.janto.es
- https://tickets.kutxabank.es
- https://compraentradas.ibercaja.es
- https://www.unientradas.es
Al ser un usuario que ha comprado una entrada en dichos portales, he visto cómo los datos de cualquier persona que compra una entrada a través de su software de ticketing quedan expuestos sin ningún tipo de autenticación.
Profesionalmente me dedico a la seguridad ofensiva, por lo que es una comprobación que podría realizar cualquier atacante y en ningún momento se trata de un ataque intrusivo contra la infraestructura tecnológica de IMPRONTA SOLUCIONES S.L. El 17 de octubre, con ánimo de reportarles sus vulnerabilidades y preguntando por si tenían algún tipo de programa de recompensas dado que es un software instaurado a nivel nacional, me puse en contacto con su DPD según pone en su página web (http://impronta.es/politica-de-privacidad/) comentándole los problemas que tenían en su aplicación, sin obtener respuesta alguna. Adicionalmente envié otros dos correos, cada uno con una semana de tiempo de diferencia, sin obtener respuesta alguna"
Fecha en la que tuvieron lugar los hechos reclamados: 17 de octubre de 2022.
Documentación relevante aportada por la parte reclamante:
- Se adjunta captura de pantalla conteniendo el correo electrónico remitido por el reclamante al DPD de impronta (***EMAIL.1) en fecha 17 de octubre de 2022 y con el siguiente texto: "Soy un investigador de seguridad que he encontrado una vulnerabilidad en vuestro software JANTO, y explotando esta vulnerabilidad quedan al descubierto datos personales de clientes que han comprado una entrada en alguno de los eventos en los que vuestra aplicación gestiona los tickets. Entre estos campos se puede identificar el nombre de la persona, tarjeta de crédito en la que solo se ocultan 6 caracteres, correo electrónico, evento de la entrada, referencia, forma de pago, etc… Al ser un software de referencia en cuento a la venta de entradas a nivel nacional, ¿tenéis algún programa de recompensa".
- Se adjunta captura de pantalla con un segundo correo electrónico remitido por la parte reclamante a las direcciones ***EMAIL.1 y ***EMAIL.2 en fecha 24 de octubre de 2022, aportando información detallada de la vulnerabilidad encontrada y adjuntando capturas con evidencias del hallazgo.
- Se adjunta captura de un tercer correo remitido por el reclamante a las direcciones ***EMAIL.1 e ***EMAIL.2 en fecha 31 de octubre de 2022 con el siguiente texto: "Hola, continuando con la investigación sobre su producto he visto que es posible descargar todos los bonos de consumo de la ciudad de Burgos. Les adjunto 30 hashes….al venir el DNI de la persona en ese PDF, nombre, correo electrónico y demás información confidencial…se produce total incumplimiento GDPR. Ante su decisión de hacer caso omiso a todos mis correos … el viernes 4/11 se lo reportaré a organismos pertinentes. Saludos".
- Se adjunta captura de pantalla aportando evidencias adicionales de la vulnerabilidad detectada en el software con pruebas de las posibilidades de filtración de datos personales.
De las actuaciones previas de investigación que se llevaron a cabo con carácter previo a que se dictara resolución de caducidad de estas de 25/04/2024 se obtuvieron las siguientes conclusiones:
"1. En relación con el vector de entrada, la brecha de datos personales estuvo causada por una vulnerabilidad existente en el software de venta de entradas (JANTO) que permitía el acceso no autorizado a entradas de terceras personas modificando los valores de algunos parámetros de la URL, este fallo fue detectado por un investigador de seguridad independiente haciendo uso de herramientas de testeo y seguridad informática. Ha quedado constatado que este investigador de seguridad puso en conocimiento de IMPRONTA (empresa propietaria del software JANTO) todos los detalles del hallazgo encontrado, avisando de la vulnerabilidad y adjuntando capturas de pantalla que evidenciaban el error, remitiendo varios correos electrónicos tanto a IMPRONTA como a su DPD en fechas 17, 24 y 31 de octubre de 2022, en estos correos también preguntaba por la posible existencia en la organización de un programa de recompensas por el descubrimiento de este tipo de vulnerabilidades. Esta misma persona interpone reclamación ante esta Agencia aportando capturas de los correos electrónicos remitidos a IMPRONTA e información adicional sobre la vulnerabilidad encontrada.
2. Se ha constatado que IMPRONTA actúa como encargado de tratamiento en relación con los datos personales que se obtienen a través de la venta de entradas con el software JANTO, actuando siempre el cliente de IMPRONTA (empresa que contrata el uso del software) como responsable de tratamiento.
3. Se ha investigado la formalización de los contratos de encargo con algunas empresas (responsables de tratamiento) de los que disponíamos de alguna evidencia de afectación por las pruebas aportadas en la reclamación, no obstante, es importante destacar que JANTO es un Software como Servicio (SaS) por lo que la vulnerabilidad afectaba a todos los clientes de IMPRONTA que utilizaban este software. Se ha investigado la formalización de los siguientes contratos de encargo: - Con Ayuntamiento de Burgos.
4. En relación con la notificación de la brecha por parte de IMPRONTA a los responsables afectados, se ha constatado que IMPRONTA notificó por escrito únicamente a los responsables para los que existía evidencia de filtración (por las pruebas aportadas por el investigador de seguridad), no obstante, esta notificación se realizó el 3 de enero de 2023 y 25 de abril de 2023, fechas posteriores al incidente investigado e incluso al traslado de la reclamación realizado por esta Agencia. Para los responsables de tratamiento de los que no existían evidencias de filtración IMPRONTA afirma que la notificación se realizó de manera verbal, no acreditándose más detalles sobre ello.
5. IMPRONTA afirma que el número de personas afectadas ha sido de 30 al ser las únicas de las que se disponía evidencia de filtración (por las pruebas aportadas por el investigador), no obstante, ha quedado constatado que el número de personas potencialmente afectadas pudo ser superior ya que la vulnerabilidad permitía extraer datos de cualquier persona que hubiera comprado entrada. A pesar de ello, no consta que se hubiera explotado esta vulnerabilidad por un tercero distinto al reclamante.
6. Las pruebas aportadas por el investigador revelan que a través de la vulnerabilidad se podían filtrar los siguientes tipos de datos personales: nombre completo, email, teléfono, número DNI, tarjeta bancaria ofuscada con 6 dígitos en claro.
7. Se ha constatado que IMPRONTA contactó con las personas afectadas vía email, aportándole nuevas entradas del evento para evitar la suplantación de identidad, no obstante, no consta que se le informara de la brecha de datos personales ni de la filtración de sus datos personales.
8.- Ha quedado constatado que IMPRONTA implantó las siguientes medidas reactivas:
- (…)
9.- En relación con las medidas preventivas implantadas por IMPRONTA se ha acreditado:
- (…)
El principal objeto de esta nueva investigación es investigar la adecuación de los contratos formalizados y las posibles autorizaciones para contratar subencargos de tratamiento entre las entidades IMPRONTA SOLUCIONES S.L y AYUNTAMIENTO DE BURGOS.
En fecha 2 de mayo de 2024 se realiza requerimiento de información al AYUNTAMIENTO DE BURGOS marcado por la siguiente línea de investigación:
- Solicitar el contrato de encargo que se formalizó con IMPRONTA. SOLUCIONES SL.
- Solicitar copia del contrato administrativo formalizado y del PPT (Pliego de Prescripciones Técnicas) y PCAP (Pliego de Cláusulas Administrativas Particulares).
- En caso de existir subencargados, solicitar:
o Autorización del Ayuntamiento.
o Comunicación de la subcontratación al órgano de contratación, en su caso.
o Copia del contrato de subencargo formalizado.
En fecha 20 de mayo de 2024 y registro de entrada REGAGE24e00036719274 se recibe respuesta al requerimiento anterior, en esta se aporta la siguiente documentación relevante:
- Copia del contrato administrativo firmado en fecha 27 de septiembre de 2022 entre IMPRONTA SOLUCIONES SL y AYUNTAMIENTO DE BURGOS, con el siguiente contenido relevante:
o Mediante Resolución 10567/22, de 15 de septiembre de 2022, el Concejal Delegado de Hacienda y Contratación dispuso adjudicar el contrato a Impronta Soluciones S.L.
o El plazo de duración del contrato será hasta el día 31 de diciembre de 2022.
o La cesión a un tercero de las obligaciones y derechos dimanantes del contrato se ajustará al cumplimiento de los requisitos recogidos en el artículo 214 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público. La posibilidad de subcontratar la prestación queda sometida a los límites del artículo 215 Ley de 9/2017, de 8 de noviembre, de Contratos del Sector Público.
o El adjudicatario y las personas que realicen directamente las tareas relativas a la prestación del servicio tratarán de modo confidencial la información que les sea facilitada por el Ayuntamiento de Burgos o sus organismos autónomos, así como cualquier otra obtenida en la ejecución del contrato.
o La información será utilizada únicamente dentro del marco de los servicios que se describen en este pliego y en el de prescripciones administrativas. Para garantizar la observancia de esta cláusula el adjudicatario deberá divulgar entre sus empleados la obligación del deber de secreto. Asimismo, se compromete a tomar medidas necesarias para la buena conservación de la información y del material de cualquier tipo suministrado o perteneciente al Ayuntamiento de Burgos o sus organismos autónomos.
o La obligación de secreto y confidencialidad vincula al adjudicatario incluso una vez cumplido, terminado y resuelto el contrato.
o El contratista actuando como entidad colaboradora deberá facilitar los documentos aportados por cada establecimiento para justificar la subvención recibida. La entidad colaboradora deberá facilitar al Ayuntamiento de Burgos información y listados:
- Con el nombre y apellidos, NIF, número de bonos adquiridos por cada consumidor, número de bonos devueltos y número de bonos canjeados.
- Listado con el nombre y CIF de los establecimientos comerciales y de hostelería que se han suscrito a la campaña, los bonos que se han canjeado en cada comercio y las transferencias realizadas a cada comercio correspondiente a los bonos canjeados. Junto con los justificantes bancarios de los mismos.
- Listados en formato .CSV con objeto de poder subir la información de los beneficiarios a la BDNS. Al adjudicatario se le entregará un documento explicativo para la realización de estos ficheros.
- Se adjunta copia de un convenio de colaboración formalizado entre AYUNTAMIENTO DE BURGOS y la mercantil IMPRONTA SOLUCIONES SL, esta última actuando como entidad colaboradora para la gestión de los fondos públicos y privados de las campañas de venta de bonos al consumo, este convenio tiene fecha de firma 14 de octubre de 2022 y establece las condiciones que debe cumplir IMPRONTA SOLUCIONES SL como entidad colaboradora.
- Se adjunta copia del Pliego de Prescripciones Técnicas (PPT) para la contratación del servicio de gestión integral de la plataforma digital para las campañas de venta de bonos al consumo, de su contenido se extrae la siguiente información relevante:
o Incorpora cláusula 8.3 y 8.4 sobre Normativa aplicable en materia de protección de datos y Obligaciones en materia de protección de datos, con el siguiente contenido:
- Si el objeto de la prestación contenida en el contrato objeto de licitación exigiera el tratamiento de datos personales, se estará a lo dispuesto en el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) -con especial incidencia a lo preceptuado en su Disposición adicional primera)- y a la restante normativa que resulte de aplicación, así como, cuando corresponda, y, cuando corresponda, a lo establecido en el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, que resultarán de aplicación a la ENTIDAD ADJUDICATARIA y a sus posibles subcontrataciones, durante toda la vigencia del contrato, independientemente de la ubicación de los sistemas implicados en la prestación de los servicios.
- La finalidad del tratamiento de los datos personales por parte de la ENTIDAD ADJUDICATARIA será la de la prestación de los servicios comprendidos en el contrato. El uso de los datos personales para finalidades distintas a las anteriormente indicadas supondrá un incumplimiento por parte de la ENTIDAD ADJUDICATARIA, lo que podrá dar lugar a la resolución del contrato.
- La aceptación de las condiciones del presente pliego de cláusulas administrativa particulares implica para la ENTIDAD ADJUDICATARIA y el personal a su servicio en la prestación del contrato la aceptación y cumplimiento de la normativa vigente en materia de protección de datos de carácter personal (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGDP) (DOUE 04-05-2016), así como de las disposiciones que en materia de protección de datos y seguridad de la información se encuentren en vigor a la adjudicación del contrato o que puedan estarlo durante su vigencia.) sin perjuicio de que en el momento de la formalización del contrato se suscriba el correspondiente acuerdo de encargado del tratamiento en los términos del Art. 28 del Reglamento General de Protección de Datos 2016/679.
- La firma del contrato de encargo del tratamiento en los términos del Art. 28 debe realizarse junto con la firma del contrato administrativo. No obstante, no consta la formalización de este contrato.
- En el caso de que la ejecución del contrato implique la cesión de datos personales, éstos se cederán con la única finalidad de llevar a término los servicios contratados, quedando prohibidas cualesquiera finalidades posteriores o no relacionadas con la ejecución del contrato.
- Se adjunta el Pliego de Cláusulas Administrativas (PCAP) que rige la contratación del servicio de gestión integral de la plataforma digital para las campañas de venta de bonos al consumo 2022, de su contenido se extrae la siguiente información relevante:
o Los datos de carácter personal facilitados serán incluidos en un fichero responsabilidad del Ayuntamiento de Burgos.
o La finalidad del tratamiento es la presente campaña, siendo imprescindible para ello que los comerciantes aporten sus datos identificativos, la capacidad de representación que ostentan, número de DNI o documento equivalente, su firma y documento acreditativo donde figure como titular del número de cuenta bancaria donde quiere que se realice el abono del importe de los bonos. En el caso de los ciudadanos se utilizará exclusivamente el número de DNI o documento equivalente, el nombre y apellidos.
o La base jurídica que legitima el tratamiento de los datos de los interesados es la necesidad para la celebración y ejecución de la presente Campaña.
o El Ayuntamiento se compromete a cumplir con el deber de información de acuerdo con los requisitos establecidos en los artículos 12, 13 y/o, en su caso, 14 del Reglamento General de Protección de datos, con respecto a los datos personales que sean comunicados entre las partes para el mantenimiento y cumplimiento de la relación contractual.
o Los datos serán cedidos al adjudicatario de este concurso, que será encargado del tratamiento, con la finalidad de ejecutar el contrato y realizar las prestaciones económicas derivadas de la presente campaña, sin que pueda ser utilizados para otros fines.
o Los datos serán conservados durante la vigencia de la presente Campaña y, posteriormente, durante el plazo legalmente establecido con la finalidad de atender a las posibles responsabilidades derivadas de la misma.
o De acuerdo con la normativa española y europea sobre protección de datos personales, en la página web se deberá informar el tratamiento de tus datos se basa en el consentimiento de los interesados y en el interés legítimo.
o No hay comunicación de datos a terceros. o No hay transferencias internacionales de datos.
o Se puede acceder, rectificar y suprimir los datos, así como otros derechos, como se detalla en la información adicional y completa que se puede ver en la página web municipal.
o En todo caso, los afectados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad ante el Ayuntamiento de Burgos a través de los medios establecidos. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrán interponer una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
o La empresa adjudicataria deberá presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. Y tendrá obligación de comunicar al Excmo. Ayuntamiento de Burgos cualquier variación que se produzca a lo largo de la vida del contrato de la información facilitada sobre este aspecto.
o Los licitadores estarán obligados a indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización.
o Con la presentación de la oferta el futuro adjudicatario se compromete en todo caso a someterse a la normativa nacional y de la Unión Europea en materia de protección de datos, sin perjuicio de lo establecido en el último párrafo del apartado 1 del artículo 202 de la LCSP.
De lo anterior, se concluye:
Ha quedado constatado la existencia de contrato administrativo formalizado entre AYUNTAMIENTO DE BURGOS e IMPRONTA SOLUCIONES S.L el 27 de septiembre de 2022, no obstante, este contrato no incluye encargo de tratamiento de datos personales. El Pliego de Prescripciones Técnicas (PPT) de la licitación incorpora entre las obligaciones en materia de protección de datos el siguiente texto "La firma del contrato de encargo del tratamiento en los términos del Art. 28 debe realizarse junto con la firma del contrato administrativo". Sin embargo, habiendo sido solicitado durante las presentes actuaciones, no se ha facilitado documento que refleje el encargo de tratamiento referido en el PPT.
SÉPTIMO: Con fecha 17 de octubre de 2024, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), por la presunta infracción de los artículos 28, 32 y 5.1.f) del RGPD, tipificadas en artículo 83.4 del RGPD las dos primeras y en el artículo 83.5 del RGPD la última.
OCTAVO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP, la parte reclamada presentó escrito de alegaciones en el que, en síntesis, manifestaba lo siguiente:
La parte reclamada expone que, cuando la AEPD le requirió información el 2 de mayo de 2024, entendió que el procedimiento se dirigía exclusivamente contra la empresa Impronta Soluciones S.L., por lo que remitió únicamente el contrato administrativo y los pliegos de licitación, sin aportar más datos. Asegura que en su escrito acompaña documentación que acredita el compromiso de la empresa adjudicataria de cumplir la normativa nacional y europea de protección de datos, un informe de auditoría de seguridad realizado antes de la contratación y acuerdos de confidencialidad suscritos. No obstante, dichos documentos no se han incorporado efectivamente a las actuaciones.
Afirma asimismo que, durante la vigencia del contrato ni Impronta, ni el denunciante, ni ningún usuario comunicaron al Ayuntamiento problemas de seguridad como los que describe la propuesta de sanción. Añade que, en un ejercicio posterior y en el marco de un contrato similar adjudicado a otra empresa, ésta informó de que una persona llamada A.A.A. afirmó haber adquirido entradas de forma supuestamente fraudulenta, hecho que publicó en una red social.
Tras verificar que el sistema solo permitía tal adquisición alterando su funcionamiento normal y que no se beneficiaron otros ciudadanos, se consideró que las acciones podían constituir delitos de estafa, daños o revelación de secretos, por lo que se presentó denuncia ante el Ministerio Fiscal. Con base en todo ello, el Ayuntamiento solicita que se tenga por acreditado que no ha vulnerado el principio de confidencialidad, sino que ha actuado para garantizarlo, y que en consecuencia se archive el procedimiento sin imponer sanción alguna.
NÓVENO: Con fecha 24 de agosto de 2025 se formuló propuesta de resolución, proponiendo lo siguiente:
- "Que por la Presidencia de la Agencia Española de Protección de Datos se declare que AYUNTAMIENTO DE BURGOS, con NIF P0906100C. ha infringido lo dispuesto en los artículos 28, y 5.1.f) del RGPD, tipificadas en el artículo 83.4 del RGPD y en el artículo 83.5 del RGPD respectivamente.
- Que por la Presidencia de la Agencia Española de Protección de Datos se archive la infracción imputada al AYUNTAMIENTO DE BURGOS, con NIF P0906100C, del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD.
- Que por la Presidencia de la Agencia Española de Protección de Datos se ordene a AYUNTAMIENTO DE BURGOS con NIF P0906100C. que en virtud del artículo 58.2.d) del RGPD, en el plazo máximo de tres meses, acredite haber procedido al cumplimiento de las siguientes medidas:
o La formalización de un contrato de encargo de tratamiento conforme al artículo 28.3 del RGPD entre el Ayuntamiento de Burgos e Impronta Soluciones S.L., o el encargado actual, que incluya todos los extremos exigidos por la normativa y las condiciones previstas en los pliegos de licitación.
o Adoptar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad de los datos personales tratados."
DÉCIMO: Notificada la citada propuesta de resolución conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
PRIMERO: El software de ticketing JANTO, propiedad de Impronta Soluciones S.L. y utilizado por el Ayuntamiento de Burgos para la venta de bonos al consumo y entradas, presentaba una vulnerabilidad que permitía el acceso no autorizado a datos personales de terceros mediante la modificación de parámetros en la URL.
Este hecho se basa en las capturas de pantalla y correos electrónicos aportados por el reclamante, así como en las comprobaciones realizadas durante las actuaciones de investigación por la presente autoridad.
SEGUNDO: Consta acreditado que, como consecuencia de dicha vulnerabilidad, se encontraban expuestos datos personales tales como nombre y apellidos, dirección de correo electrónico, número de DNI, número de teléfono y seis dígitos visibles de la tarjeta bancaria utilizada para el pago de usuarios que han realizado compras de entradas y/o adquirido bonos al consumo del Ayuntamiento de Burgos.
Este extremo se fundamenta en las pruebas documentales aportadas por el reclamante y en el análisis efectuado durante las actuaciones previas.
TERCERO: Respecto al tratamiento de los datos personales expuestos, Impronta Soluciones S.L. actuaba como encargado del tratamiento y el Ayuntamiento de Burgos como responsable, siendo este último quien determinaba los fines y medios del tratamiento y el primero el que actuaba en nombre y por cuenta del Ayuntamiento de Burgos.
Esta circunstancia se desprende de los contratos y pliegos analizados por la AEPD y de la naturaleza de las funciones desempeñadas por cada entidad.
CUARTO: No consta que se haya formalizado un contrato de encargo de tratamiento entre el Ayuntamiento de Burgos e Impronta Soluciones S.L., a pesar de que el Pliego de Prescripciones Técnicas exigía su firma junto con el contrato administrativo.
Este hecho se basa en el contenido del citado pliego y en el requerimiento efectuado por la AEPD el 2 de mayo de 2024, en el que se solicitó expresamente dicho contrato sin que fuera aportado.
QUINTO: No consta que se haya formalizado un contrato de encargo de tratamiento entre el Ayuntamiento de Burgos e Impronta Soluciones S.L., para la gestión de los fondos públicos y privados de las campañas de venta de bonos al consumo fruto del convenio de colaboración firmado entre ambos en fecha 14 de octubre de 2022.
SEXTO Consta acreditado que la vulnerabilidad detectada podía potencialmente afectar a cualquier usuario que hubiera adquirido entradas o bonos del Ayuntamiento de Burgos a través de la plataforma JANTO, si bien se limitó el número de afectados a 30 personas en base a las evidencias directas disponibles.
Este hecho se apoya en el informe de las actuaciones previas y en las manifestaciones de la Impronta Soluciones S.L
SÉPTIMO: Impronta notificó la brecha de datos personales por escrito únicamente a los responsables para los que disponía de evidencias, en fechas 3 de enero y 25 de abril de 2023, varios meses después del incidente.
Este hecho se fundamenta en las actuaciones previas y en las manifestaciones de Impronta Soluciones S.L.
OCTAVO: Consta acreditado que fueron adoptadas medidas reactivas implantadas por Impronta Soluciones S.L. entre las cuales se incluyeron la corrección de la vulnerabilidad mediante parches de seguridad, encriptación de parámetros en la URL, incorporación de un token temporal para descargas, instalación de un WAF, anulación y reemisión de entradas afectadas, contratación de auditorías de seguridad y migración de los servidores a Amazon Web Services.
I Competencia
De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II Alegaciones al acuerdo de inicio
En respuesta a las alegaciones presentadas por la entidad reclamada se debe señalar lo siguiente:
En primer lugar, el Ayuntamiento sostiene que no remitió más documentación, a los requerimientos formulados por la AEPD en el marco de las actuaciones previas de investigación, que el contrato administrativo y los pliegos de licitación porque entendió que el procedimiento iba dirigido únicamente contra Impronta Soluciones S.L. Sin embargo, este argumento no puede prosperar, ya que la AEPD, en su requerimiento de 2 de mayo de 2024, solicitó de forma expresa el contrato de encargo del tratamiento y, en su caso, la documentación relativa a subencargos y autorizaciones.
El hecho de que la investigación tuviera origen en la vulnerabilidad de un sistema explotado por el encargado del tratamiento no exime al responsable del tratamiento de aportar toda la documentación que acredite el cumplimiento de sus obligaciones, especialmente cuando el Pliego de Prescripciones Técnicas exigía la firma del contrato de encargo junto con el contrato administrativo y este no se ha aportado. La omisión en la entrega de un documento esencial previsto en el artículo 28.3 del RGPD confirma la infracción y no puede justificarse por una interpretación unilateral del alcance del requerimiento.
En segundo lugar, afirma que adjunta documentación que acreditaría el compromiso de Impronta con la normativa de protección de datos, un informe de auditoría de seguridad y acuerdos de confidencialidad, si bien no consta en el expediente que dichos documentos se hayan efectivamente incorporado ni que su contenido cumpla las exigencias normativas. Aun cuando dichos documentos existieran, su mera existencia no suple la obligación legal del responsable de suscribir un contrato de encargo con el contenido mínimo establecido en el artículo 28.3 del RGPD, ni garantiza que se hayan implantado las medidas técnicas y organizativas adecuadas.
En tercer lugar, el Ayuntamiento indica que durante la ejecución del contrato no recibió comunicación alguna de la vulnerabilidad ni por parte de Impronta, ni del reclamante, ni de ningún usuario. No obstante, el hecho de que el encargado no notificara la brecha de datos personales no libera al responsable de su deber de supervisión y control proactivo sobre las actividades del encargado, conforme al principio de responsabilidad proactiva del artículo 5.2 del RGPD. El responsable debe establecer canales y procedimientos que permitan conocer de forma temprana cualquier brecha de datos personales. La ausencia de notificación demuestra de hecho una deficiente supervisión contractual y técnica sobre el encargado, máxime cuando el riesgo derivado del tratamiento incluía datos especialmente sensibles en el contexto de transacciones económicas.
En cuarto lugar, el Ayuntamiento alega que, en un contrato posterior adjudicado a otra empresa, se tuvo conocimiento de que el reclamante había adquirido entradas de forma supuestamente fraudulenta y que tales hechos se denunciaron ante el Ministerio Fiscal. Sin embargo, estos hechos corresponden a un contrato distinto y no guardan relación directa con la brecha aquí investigada. Además, incluso si se acreditara que el reclamante actuó de manera irregular, ello no elimina la existencia objetiva de la vulnerabilidad ni exime per se al responsable de su obligación de implementación de las medidas adecuadas, con independencia de la intencionalidad o identidad del actor que detecte o explote la vulnerabilidad.
Finalmente, la solicitud del Ayuntamiento de archivo del procedimiento carece de fundamento, ya que los hechos acreditados demuestran que se ha producido una exposición de datos personales sin las debidas garantías, así como que no se ha formalizado un contrato de encargo tal y como determina el artículo 28.3 del RGPD.
Estos incumplimientos se han constatado mediante pruebas documentales y técnicas incorporadas al expediente, y no han sido desvirtuados por las alegaciones ni por la documentación presentada, que además no se ha aportado íntegramente.
No obstante, no ha quedado suficientemente acreditada la falta de otras medidas técnicas y organizativas de seguridad independientes de las que dan lugar a la infracción del artículo 5.1 f) y cuya ausencia ha quedado probada. Por ello, se considera que la alegación debe ser estimada en lo relativo a la vulneración del artículo 32 del RGPD.
III Cuestiones previas
El artículo 4 "Definiciones" del RGPD define los siguientes términos a efectos del Reglamento:
«Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
«Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
En el caso que nos ocupa la compra de las entradas o bonos al Ayuntamiento de Burgos implica un tratamiento de datos personales por cuanto para la adquisición son requeridos ciertos datos como el DNI, nombre y apellidos y dirección de correo electrónico. Dicho tratamiento se manifestaría en la captura aportada por la parte reclamante donde figuran búsquedas incrementales en el parámetro RefOperacion del sistema y donde aparecen los mencionados datos personales pertenecientes de usuarios que han comprado una entrada de manera automatizada. El tratamiento ha sido asimismo corroborado por las actuaciones previas de investigación realizadas por la presente autoridad.
«Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
«Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
En el presente caso, tal y como se desprende de las actuaciones de investigación tiene la consideración de responsable del tratamiento el AYUNTAMIENTO DE BURGOS en cuanto es quien determina los fines y los medios de este. Por su parte, IMPRONTA, tiene la consideración de encargado del tratamiento en relación con los datos personales que se obtienen a través de la venta de entradas y/o bonos al consumo con el software JANTO, actuando en nombre y por cuenta del AYUNTAMIENTO DE BURGOS.
IV Obligación incumplida del artículo 5.1 f) del RGPD
De acuerdo con el apartado 5.1.f) del artículo 5 RGPD los datos deben ser:
"tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)"
Como puede observase, la finalidad del principio de integridad y confidencialidad consiste en garantizar que los datos personales sean tratados de manera que se protejan contra el acceso no autorizado o ilícito, su pérdida, destrucción o daño accidental. La integridad se refiere a la precisión y totalidad de los datos tratados, mientras que la confidencialidad se ocupa más bien de asegurar que dichos datos personales no sean accesibles para personas no autorizadas.
En el presente caso, se desprende una vulneración por parte del AYUNTAMIENTO DE BURGOS de este principio a raíz de las actuaciones de investigación previas realizadas por esta autoridad. Según dichas actuaciones, ha existido un acceso no autorizado a determinados datos personales de los clientes que compraron entradas y/o adquirieron bonos al consumo a través del portal de la parte reclamada. Entre dichos datos se encontraba el nombre completo, email, teléfono, seis dígitos de la tarjeta bancaria con la que se ha llevado a cabo el pago e incluso el número de DNI.
En el caso concreto del AYUNTAMIENTO DE BURGOS la parte reclamada ha aportado un listado de usuarios que han realizado compras de bonos de Ayuntamiento de Burgos y donde se adjunta comprobación de la posibilidad de obtener mediante el ID de operación, la referencia de compra y un contador. A través de la aplicación de estos metadatos puede obtenerse la entrada que ha sido adquirida por un usuario respecto al cual constan datos personales. El propio acceso de dichos datos personales por la parte reclamante a datos personales de terceros manifestaría la vulneración del citado principio de confidencialidad por parte del AYUNTAMIENTO DE BURGOS al no haber adoptado medidas de todo tipo para evitar cualquier tipo de brecha.
En el presente caso, la puesta en evidencia de la vulnerabilidad en el software de 'ticketing' muestra que no se han aplicado adecuadamente las medidas necesarias para garantizar un nivel de seguridad adecuado al riesgo. Dicha circunstancia ha sido confirmada por la entidad propietaria del software que, como se indicó anteriormente, tenía la condición de encargado del tratamiento por cuenta de la parte reclamada. En efecto, durante las actuaciones de investigación realizadas por esta autoridad la entidad afirmó haber detectado el día 2 de noviembre de 2022 una vulnerabilidad en el software que permitía consultar datos de venta de entradas y extraer las propias entradas en PDF.
De la misma forma, se afirmaba haber detectado error en un servicio que contenía una serie de parámetros vulnerables, de forma que si se modificaba uno de ellos se podía obtener los datos de las operaciones de venta de la misma web y permitía obtener un archivo con datos de la operación de compra, a partir del cual se podía componer posteriormente una nueva URL para obtener el PDF de una entrada concreta.
(…)
Debe tenerse en cuenta además que, dado que el software de ticketing es utilizado ampliamente por un número considerable de usuarios la magnitud del riesgo aumenta significativamente. Ello conlleva que una posible brecha de seguridad afecte a una cantidad destacable de individuos y, por tanto, también aumenta la probabilidad de consecuencias graves, como el robo de identidad o el fraude financiero.
Por otro lado, la circunstancia de que el reclamante sea un investigador ofensivo que descubrió la vulnerabilidad en el software y posteriormente preguntara sobre una recompensa, si bien resulta relevante para entender el contexto de cómo se descubrió la vulnerabilidad, no altera la responsabilidad legal del responsable del tratamiento en lo que respecta a la seguridad de los datos personales. Por el contrario, dicho hecho destaca la importancia de realizar evaluaciones de seguridad y adoptar, en su caso, las medidas adecuadas con el fin de evitar tales deficiencias.
Por último, resulta conveniente reiterar que, en lo que respecta a la seguridad de los datos personales, en el presente caso la responsabilidad recae sobre el responsable del tratamiento, y no sobre el encargado del tratamiento en virtud del ya mencionado principio de responsabilidad proactiva. En este sentido, aunque el software sea propiedad y esté gestionado por el encargado del tratamiento, dado que el responsable es quien determina los fines y los medios del tratamiento, no puede desvincularse de su responsabilidad de garantizar la seguridad de los datos personales que gestiona. Por el contrario, debe existir una supervisión y control continuos sobre las medidas de seguridad implementadas por el encargado del tratamiento y cualquier incidencia en estas medidas debería ser conocido y abordado por responsable del tratamiento.
En este caso una medida clave que no ha sido adoptada seria contar con el asesoramiento del DPD que ha de estar nombrado por mor del art. 37.1 del RGPD, según el cual el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que, entre otras, el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. Esta práctica se alinea con el artículo 38.1 del RGPD, el cual prevé que el responsable o encargado del tratamiento asegure que el DPD participe adecuadamente y a tiempo en todas las cuestiones relacionadas con la protección de datos personales.
Tal como destaca el Informe 34/2023 del Gabinete Jurídico de la AEPD, esta participación debe realizarse de manera previa a la toma de decisiones por parte del responsable del tratamiento. De esta forma, este proceso preventivo permite asegurar la adecuada evaluación de riesgos y la implementación de medidas para evitar posibles brechas de seguridad. Por tanto, tener un protocolo que determine cómo y cuándo debe participar el DPD en la toma de decisiones sobre el tratamiento de datos personales es una medida organizativa esencial cuya ausencia puede conllevar la vulneración del citado principio de confidencialidad.
En este sentido, debe de recordarse que, en virtud del principio de responsabilidad proactiva consagrada en el apartado segundo del citado artículo 5 del RGPD, el responsable del tratamiento es el sujeto obligado a garantizar el respeto y cumplimiento de los principios enumerados por el señalado artículo en relación con el tratamiento de los datos personales que realicen en su gestión, incluyendo los realizados por el encargado del tratamiento que actúe en nombre y por cuenta de dicho responsable.
En virtud de las exigencias normativas y jurisprudenciales mencionadas, la parte reclamada, como responsable del tratamiento de los datos personales, es quien está obligada a garantizar el respeto y cumplimiento de los principios enumerados por el artículo 5 del RGPD respecto al tratamiento de los datos personales en su gestión, incluyendo los realizados por el encargado del tratamiento por cuenta de dicho responsable.
En consecuencia, en el presente caso consta una violación del principio de integridad y confidencialidad reconocido por el artículo 5 del RGPD por la parte reclamada al haber sido expuestos datos de clientes que adquirieron bonos al consumo y/o entradas a través de la página web de su titularidad y ello con independencia de que la brecha de datos personales tuviera lugar como consecuencia de una vulnerabilidad en el software de la empresa encargada del tratamiento que actuaba por cuenta aquella.
V Tipificación y calificación a efectos de prescripción de la infracción del artículo 5.1 f) del RGPD.
La citada infracción del artículo 5.1.f) del RGPD supone la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (…)"
A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 72 "Infracciones consideradas muy graves" de la LOPDGDD indica:
"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679. (…)"
VI Artículo 32 del RGPD
El artículo 32 "Seguridad del tratamiento" del RGPD establece:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros".
VII Archivo de la infracción del artículo 32 del RGPD
Revisada la documentación obrante en el expediente administrativo, se evidencia que no se ha producido una conculcación del artículo 32 de RGPD, al no haberse acreditado la ausencia de otras medidas técnicas y organizativas de seguridad independientes de las que están relacionadas con la pérdida de confidencialidad que supone una vulneración del art. 5.1 f) del RGPD por lo que, en la presente resolución, se procede a confirmar el archivo propuesto de la citada infracción.
VIII Obligación incumplida del artículo 28.3 del RGPD
El apartado tercero del artículo 28 del RGPD establece lo siguiente:
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
e) asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
La importancia del contrato de encargo del tratamiento de datos personales, conforme al citado artículo, resulta fundamental para asegurar la protección de los derechos y libertades de los interesados cuyos datos personales son tratados.
Este contrato supone la base legal y operativa para establecer las responsabilidades y obligaciones específicas entre el responsable y el encargado del tratamiento. Sin él, no existen garantías de que los datos se tratarán con las medidas de seguridad y confidencialidad adecuadas, lo que puede poner en riesgo los derechos de los titulares de dichos datos.
En este contexto, tal y como se desprende de las actuaciones de investigación, el contrato administrativo de servicios entre el AYTO DE BURGOS e IMPRONTA formalizado el 27 de septiembre de 2022, no incluye el encargo de tratamiento de datos personales, lo que constituye una omisión directa respecto a las obligaciones legales descritas en el artículo 28.3 del RGPD.
Igualmente, tampoco consta la formalización de la relación y las condiciones de la misma entre responsable y encargado del tratamiento como consecuencia del convenio de colaboración suscrito por el Ayuntamiento de Burgos con IMPRONTA relativo a los bonos al consumo. Ello supone asimismo la falta de cumplimiento de las obligaciones recogidas en el artículo 28 del RGPD.
Resulta conveniente destacar que un contrato entre el responsable y el encargado del tratamiento, aunque formalmente exista, no implica necesariamente que se cumplan los requisitos de un contrato de encargo de tratamiento conforme al artículo 28.3 del RGPD. No basta con que haya un acuerdo contractual entre las partes; este contrato debe contener disposiciones específicas que regulen el tratamiento de datos personales y que están perfectamente delimitadas por el precepto.
En consecuencia, la existencia de un contrato genérico entre las partes en ningún caso garantiza por sí sola que se hayan abordado adecuadamente las cuestiones de protección de datos. En este caso, aunque exista un contrato del sector público se ha evidenciado que no se incluyó un encargo de tratamiento de datos personales, lo cual es un incumplimiento directo de la normativa. Sin las cláusulas específicas exigidas por el RGPD, no se puede asegurar que el encargado del tratamiento esté cumpliendo con las medidas de protección adecuadas, lo que deja a los datos personales de los interesados potencialmente vulnerables.
De hecho y en relación con el contrato administrativo de servicios, en el propio Pliego de Prescripciones Técnicas (PPT) de la licitación y que fue aportado durante el trascurso de las citadas actuaciones se hace referencia explícitamente a la necesidad de firmar el contrato de encargo de tratamiento de datos personales junto con el contrato administrativo. No obstante, y a pesar de haberse requerido, no se ha facilitado el documento que refleje dicho encargo, lo cual refuerza el incumplimiento del mencionado artículo.
Asimismo, en el convenio de colaboración firmado para la gestión de los bonos al consumo tampoco se ha concretado un contrato de encargado de tratamiento, pese a que estos suponen, necesariamente, la gestión de datos personales por parte de IMPRONTA en nombre del Ayuntamiento de Burgos. Consecuentemente, se ha producido una vulneración de lo dispuesto en el artículo 28.3 del RGPD
IX Tipificación y calificación a efectos de prescripción de la infracción del artículo 28.3 del RGPD
La citada infracción del artículo 28 del RGPD supone la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone: "Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)"
A efectos del plazo de prescripción, el artículo 73 "Infracciones consideradas graves" de la LOPDGDD indica: "En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(…) f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.
X Declaración de las infracciones
El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD en su apartado 7 establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
[…]
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. […]
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo."
Por consiguiente, puesto que el AYUNTAMIENTO DE BURGOS, en tanto que responsable del tratamiento está encuadrado en el apartado c) del artículo 77.1. de la LOPDGDD (es una entidad local), se ha de declarar las infracciones de los artículos 5.1 f) y 28.3 del RGPD tipificadas respectivamente en los artículos 83.5 y 83.4 del RGPD.
XI Adopción de medidas correctivas
Se acuerda imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…".
En el presente caso, se ordena como medidas a adoptar por la parte reclamada, en el plazo de tres meses, a contar desde la fecha de ejecutividad de esta resolución, las medidas siguientes:
- La formalización de un contrato de encargo de tratamiento conforme al artículo 28.3 del RGPD entre el Ayuntamiento de Burgos e Impronta Soluciones S.L., o el encargado actual, que incluya todos los extremos exigidos por la normativa y las condiciones previstas en los pliegos de licitación.
- Adoptar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad de los datos personales tratados.
Se advierte que no atender la orden de adopción de medidas impuestas por este organismo en esta resolución sancionadora podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Presidencia de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: DECLARAR que AYUNTAMIENTO DE BURGOS, con NIF P0906100C ha infringido lo dispuesto en los artículos 28, y 5.1.f) del RGPD, tipificadas en el artículo 83.4 del RGPD y en el artículo 83.5 del RGPD respectivamente.
SEGUNDO: ARCHIVAR la presunta infracción imputada al AYUNTAMIENTO DE BURGOS, con NIF P0906100C, del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD.
TERCERO: ORDENAR a AYUNTAMIENTO DE BURGOS con NIF P0906100C, que en virtud del artículo 58.2.d) del RGPD, en el plazo máximo de tres meses desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las siguientes medidas:
- La formalización de un contrato de encargo de tratamiento conforme al artículo 28.3 del RGPD entre el Ayuntamiento de Burgos e Impronta Soluciones S.L., o el encargado actual, que incluya todos los extremos exigidos por la normativa y las condiciones previstas en los pliegos de licitación.
- Adoptar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad de los datos personales tratados.
CUARTO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE BURGOS.
QUINTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez la resolución sea firme en vía administrativa.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
