Sanción a ayuntamiento por acceder al ordenador de empleada municipal y difundir sus datos personales

 

PRIMERO: A.A.A. (en adelante, la reclamante) con fecha 9/08/2018 interpuso reclamación ante la Agencia Española de Protección de Datos. contra el AYUNTAMIENTO DE ALGEMESÍ, (en adelante, reclamado).

Los motivos en que basa la reclamación son que "Se ha ordenado por la Alcaldía al departamento de Informática del Ayuntamiento el acceso a mi ordenador en base a unas presuntas irregularidades cometidas por mí que no han sido justificadas y se ha hecho sin mi consentimiento y violentando mis claves de acceso personales. La documentación obtenida sin seleccionar aquella que es personal e íntima ha sido difundida a otros miembros y a prensa".

La reclamante presta servicios para el reclamado como ***PUESTO.1. Declara que el 27/03/2018 se le notifica un acuerdo del Pleno, de fecha ***FECHA.1, por el que se solicitaba a los órganos responsables de la Comunidad Autónoma, Dirección General de Administración Local, la incoación de un expediente disciplinario, por la comisión de determinadas infracciones tipificadas en la legislación de función pública.

Junto a la reclamación, aporta:

1) Copia firmada con el recibí de la reclamante, de 27/03/2018, del acuerdo de notificación de solicitud de incoación de expediente disciplinario, adoptado por el Pleno el ***FECHA.1, a propuesta de la Alcaldía, en escrito de 20/03/2018, relatándose los siguientes argumentos y situaciones:

a. El punto uno de la propuesta, se refieren los hechos relacionados con la presentación de la reclamante de un justificante de asistencia emitido por el Ayuntamiento de Valencia a jornadas de formación, figurando que se emite el 2/03/2018 certificado por el servicio de formación del Ayuntamiento de Valencia de qué esa jornada no existía, información que había sido solicitada el 23/02/2018.

b. En el punto segundo de la propuesta de alcaldía se indica: "que al haber aparecido documentos en el escáner y la impresora que podrían suponer que la reclamante realiza actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones de ***PUESTO.1 y que incluso podrían resultar incompatibles, mediante providencia de la Alcaldía de fecha ***FECHA.3 se ordena al departamento de Informática que investigue los documentos del ordenador personal de trabajo para aclarar esos hechos". "De la inspección efectuada se obtuvieron varias carpetas de documentos personales sobre actividades privadas que se grabaron en un CD."

c. El resto de la propuesta valora la competencia para la instrucción y resolución del procedimiento disciplinario que se propone incoar, determinando que la competencia corresponde a la Generalitat Valenciana, Dirección General de Administración Local (DGAL en lo sucesivo) si fuera falta grave, o al Ministerio de Hacienda y Función Pública, si fuera muy grave.

d. Consta en la propuesta que se emitió dictamen de la Comisión informativa de economía, gestión administrativa y personal el ***FECHA.2.

e. En el acuerdo, se resuelve: remitir copia del expediente a la DGAL, indicando las posibles faltas que se consideran cometidas, figurando entre otras como muy graves la de incumplimiento sobe normas de incompatibilidades, la realización dentro de la jornada laboral de manera reiterada o con ánimo de lucro de algún tipo de actividad personal o profesional y como grave, entre otras, emplear o autorizar para usos particulares medios o recursos de carácter oficial. En los documentos que forman parte del expediente que se envía, figura en su punto 7 "Providencia de la alcaldía de ***FECHA.3 ordenando al departamento de informática la revisión del ordenador del trabajo de la funcionaria". En el punto 9: "DVD en el que figura la documentación extraída del ordenador del trabajo de la interesada que evidencia la realización dentro de la jornada laboral de otras actividades personales y profesionales que además podrían resultar incompatibles con su puesto de trabajo".

2) "Providencia de la Alcaldía", firmada el ***FECHA.3 ,que indica "Considerando que se han encontrado documentos-impresora y escáner- de la funcionaria ...sobre actividades que nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo como ***PUESTO.1 del Ayuntamiento...y que pueden resultar incompatibles con su puesto de trabajo",

DISPONE: "Que por el Departamento de informatica se acceda al ordenador de trabajo de la funcionaria, a fin de comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas"..."Todo ello se realizará desde el cumplimiento de la normativa de Protección de Datos de carácter personal y con la máxima confidencialidad destinado a la información que se puede obtener solamente a los efectos de los expedientes que a la vista de los documentos puedan iniciarse destinando la información que se pueda obtener únicamente a los efectos de los expedientes a la vista de los documentos obrantes puedan iniciarse."

3) "En fecha 24/03 (antes de mi notificación del acuerdo de Pleno) se produce una filtración a prensa de los datos relativos al inicio del expediente y, por tanto, de parte del contenido de los documentos obtenidos en la intervención del ordenador siendo portada en los medios de comunicación de mayor tirada en la Comunidad Valenciana. Esta publicación añade un elemento de tensión y presión familiar y social sobre mí que ha hecho que sea muy duro emocionalmente incorporarme cada día a mi puesto de trabajo y seguir realizando mis funciones". Adjunta impresión de diario LEVANTE, de ***FECHA.4 con el titular "***NOTICIA.1" "El ayuntamiento de Algemesí acusa a su actual ***PUESTO.1 de ***INFRACCION.1". En la noticia se contiene el nombre y primer apellido señalando que "el Ayuntamiento de Algemesí ha propuesto a Presidencia de la Generalitat la apertura de un expediente disciplinario por faltas muy graves contra B.B.B., (...) que en la actualidad trabaja como ***PUESTO.1 de la citada localidad."" La alcaldía, que ha remitido el expediente a la Dirección General de Administración Local (competente para sancionar a funcionarios con habilitación nacional) considera que B.B.B. pudo cometer numerosas infracciones, entre ellas, ***INFRACCION.1. Además, se le achaca, siempre según el documento, el incumplimiento de las normas sobre incompatibilidades al constar que en su tiempo de trabajo realizaba".

También se indica que "documentos que aparecieron en el escáner y la fotocopiadora levantaron las sospechas y la alcaldía ordenó al departamento de informatica que investigara los documentos de su ordenador. Tras la inspección se encontraron varias carpetas de documentos personales sobre actividades privadas que se encuentran grabadas en un DVD".

4) "El 10 de julio recibo notificación de la Dirección General de Administración Local de la Generalitat Valenciana por la que se me comunica el Inicio del expediente sancionador por idénticos motivos a los alegados en el acuerdo de denuncia (que es así como lo define el acuerdo de la Generalitat) remitido por el Ayuntamiento de 22/03. Se adjunta como DOCUMENTO nº11.

5) Aporta copia de escrito dirigida a la reclamante por el reclamado de 11/04/2018 en el que señala que "en relación al escrito presentado por usted el 10 de abril del 2018 solicitando a los documentos del expediente completo", y le informa que los documentos que se enviaron junto a la convocatoria a los miembros de la comisión informativa de personal son los mismos que lo los que se adjuntaron al escrito del regidor que suscribió el 9/04/2018, qué se le ha notificado a usted el mismo día, que vuelve a enumerar, sin que entre ellos se haga mención al DVD, ni a concretos documentos hallados en el escáner. La reclamante manifiesta que además de tomarse el acuerdo sin saber de qué documentos se trata, "no figuran los documentos aparecidos en el escáner y la impresora" que justifican, según el acuerdo, la posterior intervención del ordenador, ni a ella le han sido entregados,

-Indica:

A-"De la tramitación de dicho expediente y por supuesto de la intervención de mi ordenador tuve conocimiento el mismo día con la comunicación del Acuerdo por lo que todas las actuaciones previas que se realizaron fueron efectuadas sin mi conocimiento y, por tanto, sin mi consentimiento.",

B- "solicitó información a la Junta de Personal del Ayuntamiento en fecha 28/03 sobre si ha tenido ese órgano conocimiento o ha sido informado de las actuaciones investigadoras que se estaban realizando o si le fue comunicada la providencia de la Alcaldía que ordena la intervención de mi ordenador y si estuvo presente algún representante cuando se realizaron estas actuaciones" "se me informa en fecha 29/03 que no a ambas cuestiones ". Acompaña dos escritos, uno firmado por la reclamante dirigido a la presidenta del comité de empresa en tal sentido y la respuesta a ambas cuestiones fue que no en el escrito del comité.

C-En la documentación aportada, figura la copia del CD con la documentación extraída de su ordenador, y que "se entregó no solo como Anexo al acuerdo que se remitió a la Dirección General de Administración Local, sino además a los integrantes de la Junta de Portavoces y miembros de la Comisión Informativa de Hacienda que se celebró previa al Pleno."

"El CD contiene una copia íntegra de la carpeta de descargas de mi ordenador, de la carpeta de "Desktop" y de la carpeta de "Descargas" y de la misma no se ha efectuado una diferenciación de aquellos documentos que no teniendo que ver con la cuestión planteada afectan a mi intimidad personal. Adjunto copia de las carpetas y archivos extraídos en formato PDF (cuya justificación se acompaña como DOCUMENTO Nº5) donde aparecen archivos personales evidentes como son mis contraseñas personales, mi declaración de la renta, mis cuentas personales, transferencias, las rutas del colegio de mi hija, la matrícula de la universidad, mi TFM del Máster que estoy cursando, mi certificado de deudas tributarias con la AEAT, reservas de vuelos, nóminas, etc."

Se debe señalar que en los dos archivos electrónicos de la reclamación del 9/08/2018, el DOCUMENTO 5 no es aportado, pasando de referir el documento 4 en el primer envío, al 6 y siguientes en el segundo.

D-"No existe ni se me comunicaron instrucciones respecto al uso del ordenador en el ámbito de mi trabajo que establezca las reglas de uso de estos medios (con aplicación de prohibiciones absolutas o parciales) ni se me informó de que se pondría en marcha un control, ni de cómo se iba a realizar o con qué medios en orden a comprobar la corrección de su uso."

SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por la reclamante, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones siguientes:

A) Traslado de la reclamación en escrito de 2/10/2018 a reclamado, para que de conformidad con art. 9.4 del Real Decreto-ley 5/2018 (BOE 30/07/018) la analice, y le comunique a la reclamante la decisión adoptada, con remisión a la AEPD de la siguiente información:

"1. Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.

2. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.

3. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.

4. Cualquier otra que considere relevante." El envío fue recibido el 3/10/2018.

Con fecha 7/11/2018, se recibe respuesta del DPD de reclamado, SEGURIDAD Y PRIVACIDAD DE DATOS , aportando:

1)-Copia de respuesta a la reclamación a la reclamante, notificada telemáticamente el 6/11/2018, identificado como núm. salida ***NÚMERO.1 de 5/11/2018, que según manifiesta es prueba de haber enviado respuesta a reclamante. Añade que se también ha enviado la respuesta por correo certificado que aún no ha recibido los justificantes. En el escrito dirigido a la reclamante reitera los motivos por los que se incoa expediente sancionador, y que dentro de las atribuciones propias del Ayuntamiento, está el control de los medios propios, utilizados por el personal a su cargo.

El escrito de respuesta, que lleva fecha 22/10/2018, en el punto quinto explica que la base legitimadora de los datos es: "Resulta evidente que a la vista de la existencia de documentación conteniendo datos de carácter personal susceptibles de protección, recorriendo las dependencias del Ayuntamiento sin control alguno, e identificándose el uso de los mismos por Usted y por la documentación presentada aparentemente falseada, no quedaba otro remedio que comprobar el uso adecuado y legítimo de dichos datos, y otros que usted posiblemente estaba tratando, así como las posibles brechas de seguridad y, de existir, si las mismas afectaban directamente (datos en poder del propio Ayuntamiento) o indirectamente (por aplicación de la responsabilidad derivada por los actos del personal a cargo del Ayuntamiento) al Ayuntamiento de Algemesí.

Para dichos fines y siempre dentro del respeto a la intimidad y a los derechos que a Usted le asisten, el Ayuntamiento se vio en la necesidad de recabar datos suficientes para la defensa de los interesados, valoración del impacto que pudiera haberse producido y para la adecuada instrucción del expediente sancionador."

En el punto sexto le informa que "El Ayuntamiento no ha tenido acceso ni ha utilizado publicado los datos de carácter personal relativos a usted salvo los necesarios a fin de cumplir con las obligaciones de carácter laboral que le unen al mismo y cuya legitimación resulta implícita a la propia relación existente entre ambos."

Indica también en este punto séptimo que "en la adopción del acuerdo de solicitar la Incoación del expediente disciplinario adoptado por el pleno del 22 de marzo del 2018, dado el carácter público de esa sesión, se omitió citar nombres de funcionarios relatando solo hechos para objetivar las medidas a adoptar y para preservar la privacidad del funcionario".

En el punto octavo del comunicado le indica que "En el CD donde se recopiló información, solo constan datos profesionales, algunos procedentes de trabajos al servicio del Ayuntamiento y otros de sus trabajos personales, no datos de carácter personal suyos o de sus familiares."

En el punto noveno le indica "La adecuación o no al procedimiento de lo que usted denomina intervención que no fue más que una revisión de ciertos contenidos a efectos de asegurarnos de la legalidad de los tratamientos de datos será dilucidada en el cauce procesal oportuno y que en ningún caso está bajo la supervisión de la AEPD".

Le indica en el punto undécimo que frente a su manifestación de que no existen normas de uso interno del uso de archivos, datos y su uso en el ordenador que existe como normativa aplicable, el artículo 54.5 del Estatuto básico del empleado público que determina que "los funcionarios públicos administrarán los recursos y bienes públicos con austeridad y no utilizarán los mismos en provecho propio o de personas allegadas, en parecido sentido, el artículo 88.5 de la ley 10/010 de 9/07 de la Generalitat, Ley de ordenación y gestión de la función pública valenciana.

2) Escrito dirigido a la AEPD informando que ha enviado a la reclamante el escrito de respuesta en el que se informa que la actuación se ha realizado con respeto a las normas sobre protección de datos, siendo la motivación principal, la "defensa de datos personales de los posibles interesados que pudiera verse en peligro por la actuación de un funcionario al servicio del mismo".

En cuanto a medidas adoptadas para evitar situaciones como la de la reclamación, entre otras:

-Se ha contratado a un Delegado de Protección de Datos el 11/06/2018, ha publicado el registro de tratamientos.

-"Se pasó un documento a todos los empleados del 18/10/2018 sobre confidencialidad y medidas de seguridad, y prohibiciones adaptado al RGPD" (indica que se adjunta el documento, si bien no se aporta) y se ha iniciado el expediente sobre la aprobación de la política de seguridad de la información."

TERCERO: Con fecha 14/11/2018 la directora de la AEPD acuerda admitir a trámite la reclamación.

CUARTO: Se recibe escrito de la reclamante de 28/02/2019, informando que se halla en trámite un procedimiento penal en el seno del cual tuvo conocimiento de la respuesta a su reclamación, emitida por el DPD con la que no está de acuerdo con los motivos que explica motivaron el acceso a su equipo informático por no corresponderse con los hechos puestos de manifiesto en el comunicado de acuerdo para la incoación de procedimiento disciplinario. Principalmente, indica que no se aportaron los documentos que se recogen el acuerdo, documentos que habían generado las sospechas para el acceso del ordenador.

QUINTO : Se recibe escrito de la reclamante de 21/03/2019 (folios 145 y ss.) en el que adjunta declaraciones de diversas personas físicas, entre otros la ***PUESTO.2 C.C.C., el ***PUESTO.3 D.D.D., funcionarios de la entidad reclamada., "delito contra la intimidad" previas XXX/2018, en el que figura como denunciante la reclamante.

Aporta copia de las declaraciones de:

a) D.D.D. de 20/03/2019, en el sentido de que para acceder al contenido del equipo informático de la reclamante lo hizo como administrador, sin necesidad de acudir físicamente al mismo, pues "... la mayor parte de la información está en la red, en los servidores", y otra en "ordenador "el ordenador era propiedad del ayuntamiento"" No llegó a ver los documentos encontrados en la impresora y escáner" "no tuvo que acceder a ninguna clave de usuario de la querellante porque entró con la clave de administrador "Por correo electrónico le llegó la providencia", si bien no recuerda si accedió al equipo de la reclamante ese día o al día siguiente. Manifiesta que en conversación con la ***PUESTO.2, esta descartó la opción de acceder al equipo con la presencia de la reclamante. "Le dijo la ***PUESTO.2 que había que hacer una inspección de documentos" "De la carpeta mis documentos que se encuentra en los servidores aunque cada usuario solo puede ver la suya, el declarante cogió las carpetas que había en mis documentos de la querellante y además, otros documentos del ordenador de la querellante del escritorio, siendo dos o tres carpetas" "Los seleccionó y los copió en un DVD, conforme a las instrucciones recibidas por la ***PUESTO.2." "El DVD no se encriptó y se lo dio personalmente a la ***PUESTO.2 en el momento en que lo grabó" "No llegó a abrir ningún documento "Cuando se hizo la intervención del ordenador, no se hacía ninguna advertencia a los funcionarios sobre el contenido de la información que se podía tener en los ordenadores, porque no había entrado en vigor el RGPD y no era necesario" "no se hizo ningún acta de intervención, el declarante estaba" solo cuando se hizo y se lo entregó directamente a la ***PUESTO.2, sin tampoco ningún acta de diligencia" "desconoce si la ***PUESTO.2 mostró a los Concejales el contenido del DVD"."A fecha de hoy el Ayuntamiento no está todavía ajustado al esquema nacional de seguridad" y que ""Todos los funcionarios saben que el administrador tiene acceso a toda la documentación y que tiene copias de seguridad" "No entró en el correo electrónico ni en los datos de navegación".

b) De la jefa y encargada de gestión de personal de 20/03/2019. Se indica que fue la persona que "redactó la providencia de ***FECHA.3 de acuerdo de intervención del ordenador" "La ***PUESTO.2 le dijo que tenía antecedentes previos y que tenía que redactar una providencia para averiguar unas razones a fin de determinar si se incoaba expediente" "la redactó en horario de trabajo conforme a lo que la ***PUESTO.2 le minutó" "No vio los documentos que aparecieron en el escáner" "La ***PUESTO.2 le comentó que quería ver si esa funcionaria estaba realizando tareas que no fueran las propias del puesto" "Los documentos que aparecieron en el escáner no están en el expediente administrativo que se elevó a la Dirección General" "La declarante no le pidió a la ***PUESTO.2 esos documentos" "respecto a la no utilización de los medios de la administración por los funcionarios para usos personales, conoce lo que señala el TREBEP y no se ha hecho una comunicación interna a los funcionarios sobre esta cuestión" "No sabe quién hizo la comprobación del contenido del volcado" "La ***PUESTO.2 le dijo que figuraban documentos que no tenían nada que ver con el puesto de trabajo, que no lo recuerda pero que dijo algo de empresas que nada tenían que ver con el ayuntamiento" "no ha visto el DVD" "no sabe con quién comprobó la ***PUESTO.2 los documentos que contiene el DVD" "De la entrega del DVD de la ***PUESTO.2 a ella no se hizo ningún acta" "Cuando se lo dio a la declarante ya habían comprobado el contenido y lo habían visto los concejales" y "pasaron unos días hasta que se lo entregaron" "La querellante solicitó una copia y se le entregó " "El DVD no está puesto dentro del expediente electrónico porque para poder pasar el expediente a la comisión informativa deben estar foliados y firmados y no se incluyó el DVD" "El DVD luego se remitió a la Dirección General" "La impresora está en un pasillo donde hay mucha gente que tiene acceso". "Que la querellante puso un recurso contencioso administrativo que se ha desestimado" "cuando el Juzgado reclamó el expediente administrativo, se acordó no mandar el DVD" "Sabe que por la Dirección General se incoo expediente, nombrando instructor y secretario, y está paralizado por la prejudicialidad penal de esta causa".

c) De testigo, 20/03/2019, que manifiesta "que era presidenta de la junta de personal funcionario del ayuntamiento" "ni la ***PUESTO.2 ni ningún funcionario le comunicó antes de la intervención del ordenador que la iban a realizar". "La primera noticia que tuvo fue cuando la querellante le presentó un escrito de ***FECHA.4""el 29/03/2018 se celebró una Junta, y se contestó que no habían tenido conocimiento ni de la intervención ni de la documentación ni del expediente" "Que no se puso en contacto la declarante ni la junta de personal con la ***PUESTO.2" "De todo lo que se enteró fue por la prensa" "De este tema nunca ha hablado con la ***PUESTO.2 "En la fecha de los hechos, a los funcionarios no se les comunicaba expresamente que no podían utilizar los ordenadores para uso personal, pero ahora sí, se les remitió un escrito vía mail, muy farragoso comunicando que no podían utilizar los medios materiales del ayuntamiento para usos propios" "En la Junta no se comentó si se debería haber citado a algún miembro de la junta de personal para estar presente en la intervención".

SEXTO: Con fecha 26/07/2019, la Directora de la AEPD acuerda:

"1. INICIAR PROCEDIMIENTO DE DECLARACIÓN DE INFRACCIÓN al AYUNTAMIENTO DE ALGEMESÍ, por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3 b) de dicha LOPD.

2. INICIAR PROCEDIMIENTO DE DECLARACIÓN DE INFRACCIÓN al AYUNTAMIENTO DE ALGEMESÍ, por la presunta infracción del artículo 9.1 de la LOPD, en relación con los artículos 92, 97.1 y .2 y 101 del RLOPD tipificada como grave en el 44.3.h) de la LOPD.

3. SUSPENDER el procedimiento nº PS/00062/2019 incoado al AYUNTAMIENTO DE ALGEMESÍ" al constatarse la existencia de demanda penal sobre los hechos."

SÉPTIMO: En fecha 26/12/2019, se recibe escrito de la reclamante en el que manifiesta que se ha dictado sobreseimiento en el procedimiento penal. Aporta copia del auto YYYY/2019 de 23/12/2019 de la Audiencia Provincial de Valencia, sección 3ª, apelación de resolución procedimiento abreviado XXX/2018 del Juzgado de Instrucción 2 de Alzira (folio 187 y ss.). El recurso de apelación se formula tanto por la reclamante como por C.C.C. (***PUESTO.2 del Ayuntamiento de Algemesí).

El razonamiento jurídico primero indica que comenzando por el recurso interpuesto por la ***PUESTO.2 del Ayuntamiento de Algemesí interesa sobreseimiento de actuaciones pues el objeto se limitó a un delito contra la intimidad permitiendo que se accediera al ordenador utilizado por la querellante Sra. B.B.B. (***PUESTO.1 en el citado Ayuntamiento) para comprobar si era utilizado para actividades ajenas a sus funciones municipales. Llevado a cabo el acceso se procedió a incoar expediente disciplinario contra la querellante por realizar dentro de la jornada laboral actividades personales y profesionales ajenas a sus funciones."

"Aunque en sede laboral y no contenciosa administrativa el acceso por la empresa al ordenador de su propiedad y utilizado por sus trabajadores es cuestión debatida que han seguido distintos criterios jurisprudenciales uno de ellos marcado por la sentencia de la gran sala del Tribunal Europeo de Derechos Humanos de 5/09/2017 (caso Barbulescu) ha venido a armonizarlo y a concretar ""En la jurisprudencia penal se ha podido pronunciar sobre esta cuestión al examinar la alegación de la nulidad de prueba obtenida mediante la sentencia del Supremo de 23/10/2018 recurso 1674/2017 n 498/2018 qué señala que en la citada sentencia "acudiendo a la clásica técnica, se habla de la insoslayable necesidad de ponderar los bienes en conflicto. De una parte el interés del empresario en evitar o descubrir conductas desleales o ilícitas del trabajador. Prevalecerá sólo si se atiene a ciertos estándares que han venido a conocerse como test Barbulescu.

Se enuncian criterios de ponderación relacionados con la necesidad y utilidad de la medida, la inexistencia de otras vías menos invasivas, la presencia de sospechas fundadas...Algunos se configuran como premisas de inexcusables concurrencia. En particular no cabe un acceso inconsentido al dispositivo de almacenamiento masivo de datos si el trabajador no ha sido advertido de esa posibilidad y/o además no ha sido expresamente limitado el empleo de esa herramienta a las tareas exclusivas de sus funciones dentro de la empresa (los usos sociales admiten en un grado y según los casos como se ha dicho, el empleo para fines personales creándose así un terreno abonado para que genera una expectativa fundada de privacidad que no puede ser laminada o pisoteada).

El resto de los factores de ponderación entran en juego para inclinar la balanza en uno u otro sentido sólo si se cuenta con ese presupuesto. En otro caso, habrá vulneración aunque existe necesidad, se use un método poco invasivo etc."

Y continúa diciendo que "esta es la clave que nos permite resolver este asunto. Podrían existir razones fundadas para sospechar y entender que el examen del ordenador era una medida proporcionada para esclarecer la conducta desleal y evaluar los perjuicios, se buscó además una fórmula lo menos invasiva posible pero faltaba un prius inexcusable. Si existiese esa expresa advertencia o instrucción en orden a la necesidad de limitar el uso del ordenador a tareas profesionales (de lo que podría llegar a derivarse una anuencia tácita al control, o, al menos, el conocimiento de esa potestad de supervisión) y/o además alguna cláusula conocida por ambas partes autorizando la empresa medidas como la aquí llevada a cabo o si se hubiera recabado previamente el consentimiento de quien venía usando de forma exclusiva o el ordenador (en caso de negativa nada impedía recabar la autorización necesaria) pocas dudas podrían albergarse sobre la legitimidad de la actuación indagatoria llevada a cabo por la empresa. Pero en las circunstancias en que se llevó a cabo hay que afirmar que el ordenamiento ni consiente, ni consentía en la fecha de los hechos, tal acción intrusiva por ser lesiva de derechos fundamentales"

"Es inevitable recordar que los criterios citados se expresaban para determinar la validez de la prueba obtenida del acceso al ordenador utilizado por el trabajador, cuestión que obviamente, requiere una mayor exigencia que cuando, como en el caso de autos no se plantea la mera regularidad a efectos probatorios del acceso al ordenador sino su calificación como delictiva"

Alude al ejemplo de la sentencia del Tribunal Supremo de 14/10/2011 recurso 10365/2011 nº 1045/2011, señalando que el delito de descubrimiento y revelación de secretos del artículo 197 del código penal requiere en el elemento subjetivo una conducta típica que ha de ser dolosa, pues no se recoge expresamente la incriminación imprudente. Continúa indicando que "Sin entrar a valorar la regularidad o irregularidad de la actuación de la señora ***PUESTO.2 y sin necesidad de determinar el valor probatorio que puedan tener los archivos obtenidos, no puede calificarse como penalmente relevante la actuación del apelante por razones que expone", y "estima penalmente irrelevante la actuación de la señora ***PUESTO.2 con relación a los archivos guardados por la querellante en el sistema informático del Ayuntamiento (ordenador y servidor) y, en consecuencia, se estima procedente el sobreseimiento de las actuaciones que ha interesado la apelante aunque siempre sin perjuicio de valor probatorio que en otra jurisdicción pueda atribuirse a la información así obtenida o incluso de la responsabilidad administrativa en que haya podido incurrir en virtud de la legislación de Protección de Datos."

"Procede en consecuencia estimar el recurso interpuesto por la representación de C.C.C."

Alude el fallo también en el fundamento de derecho tercero, final a la "sentencia del juzgado de lo Contencioso administrativo 7 de Valencia el ***FECHA.5 que desestimó la demanda interpuesta por la querellante contra el acuerdo del Ayuntamiento de solicitar la incoación de expediente disciplinario contra la misma, demanda en la que entre otras alegaciones aludía a la vulneración de sus derechos por la decisión de la ***PUESTO.2 de acceder a su ordenador ".

OCTAVO: Con fecha 17/01/2020, se remite escrito al Juzgado solicitando certificación de la situación del procedimiento y se recibe escrito de 12/03/2020, del Juzgado de Primera Instancia e Instrucción nº 2 de Alzira que remite diligencia de constancia en la que se indica que en fecha 23/12/2019, la Audiencia Provincial de Valencia "acuerda el sobreseimiento provisional, el cual es firme, por lo que el procedimiento penal se encuentra archivado". Se indica el procedimiento abreviado XXX/2018, delito contra la intimidad, contra varias personas entre las que se incluye C.C.C., o D.D.D. por mencionar solo alguno.

NOVENO: Con fecha 23/03/2020 se acuerda LEVANTAR la SUSPENSIÓN del procedimiento sancionador incoado al AYUNTAMIENTO DE ALGEMESÍ, y continuar su tramitación, produciéndose la efectiva recepción el 2/06/2020. Transcurrido el tiempo otorgado, no se reciben alegaciones.

DÉCIMO: Con fecha 22/06/2020 se acuerda iniciar un periodo de practica de pruebas, y practicar las siguientes:

1. Dar por reproducidos a efectos probatorios la reclamación interpuesta y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante el reclamado, AYUNTAMIENTO DE ALGEMESÍ, y las actuaciones que forman parte del expediente E/06844/2018.

2. Asimismo, se da por reproducido el escrito de la reclamante sobre comunicación de la sentencia de la AP Valencia que resuelve el asunto penal y las diligencias remitidas y recibidas con el Juzgado sobre dicho asunto.

Además, se amplían las pruebas a las siguientes:

3. A RECLAMADO, se le solicita, aporte o informe sobre:

3.1) En el acuerdo del pleno del Ayuntamiento de ***FECHA.1 que recoge la solicitud de incoación de expediente disciplinario formulada por la ***PUESTO.2, se contiene:

a-Se emitió dictamen de la COMISIÓN INFORMATIVA DE ECONOMÍA, GESTIÓN ADMINISTRATIVA Y PERSONAL el ***FECHA.2. A este respecto, se solicita que informen la normativa que faculta su petición y emisión, y si se le entregó copia del DVD conteniendo lo extraído del equipo informático de la reclamante.

En el mismo sentido, si dicho DVD, en dicha fecha o antes, fue enviado, mostrado o traspasado a algún cargo público, grupo municipal, etc., explicando el motivo.

Se recibe respuesta de 6 y 07/7/2020, manifestando que la solicitud de incoación se tenía que adoptar en el Pleno, por lo que se ha de incluir el asunto en el orden del día. "En el orden del día solo pueden incluirse asuntos que hayan sido previamente dictaminados por la Comisión Informativa (artículo 82.2 del Real Decreto 2568/86 de 28/11 por la que se aprueba el Reglamento de organización funcionamiento y régimen jurídico de las entidades locales, ROF. "

Declara que el DVD solo se envió a la DGAL, añadiendo que "fue mostrado" a un único miembro de los grupos políticos que tenía que votar en el Pleno, "pues sin saber el motivo difícilmente podían justificar su voto "No se mostraron los documentos en detalle. Únicamente la relación existente en las carpetas copiadas explicándoles el caso. Con el nombre de los documentos ya se deduce que se trataba de asuntos ajenos al puesto de trabajo".

Aporta DOCUMENTO DOS que es un escrito del Secretario Delegado de la Comisión Informativa de Economía, gestión administrativa, y personal de 10/01/2019 en el que indica que en la sesión celebrada el 21/03/2019 sobre el asunto de incoación de expediente disciplinario a la reclamante, se envió el 20/03/2018 documentación a través de la aplicación informática del Ayuntamiento a todos los regidores que conforman la Corporación, y a la interventora y secretario general. En ninguno de los documentos que menciona como remitidos figura referencia al DVD, si a la providencia de la alcaldía de ***FECHA.3 que ordena al departamento de informatica el acceso al ordenador de trabajo de la reclamante "para comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como ***PUESTO.1 del Ayuntamiento tiene encomendadas". Se indica en el apartado segundo del escrito que "no se facilitó ninguna copia de ningún documento contenido en el DVD y tampoco se mostró el contenido a los miembros asistentes a la comisión informativa" . "El 22/03/2019 se envió el dictamen adoptado por la comisión informativa a través de la aplicación informatica al Secretario General y a una administrativa adscrita a este, al objeto de su inclusión en el orden del día de la sesión del pleno".

Alude fuera de la cuestión a que la sentencia RRR-2019 del Juzgado de lo Contencioso Administrativo 7 de Valencia, concluye que procede la desestimación de la demanda por no haber quedado acreditado que la actuación realizada por la Corporación Local resulte contraria a las determinaciones contenidas en el precepto invocado, que establece su obligación de emitir una propuesta razonada sobre los presuntos hechos cometidos y la autoría de los mismo y remitirla al órgano correspondiente de la Comunidad Autónoma a la que pertenezca, señalando asimismo la normativa de aplicación el deber de que una a dicho escrito la documentación estime pertinente, sin que haya quedado acreditada la vulneración de derechos que alega la recurrente, pues la no intervención de la interesada en este fase previa no resulta suficiente para decretar la nulidad de lo actuado... Tampoco ha quedado acreditada la vulneración del derecho a la intimidad que denuncia ni la filtración a la prensa o a los grupos políticos, pues estas cuestiones han sido negadas de contrario y ninguna prueba se ha practicado que acredite las manifestaciones en este punto de la actora. Por todo ello procede la desestimación de lo solicitado". Aporta como acreditación, DOCUMENTO UNO, entrada ***NUMERO.2 ***FECHA.6 que contiene la sentencia de ***FECHA.5 contra la que cabe recurso de apelación. La sentencia indica que la reclamante interpuso la demanda contra el acuerdo del pleno del Ayuntamiento de ***FECHA.1 que acordó solicitar la incoación del expediente disciplinario.

b-En el punto dos, se indica que "aparecieron documentos en el escáner y la impresora que podrían suponer que la funcionaria realizaba actividades personales y profesionales dentro de la jornada de trabajo que nada tenía que ver con las funciones encomendadas". A este respecto, por guardar relación esta cuestión con el acceso y habilitación a los equipos informáticos, se les solicita Informe sobre cómo han documentado dichos hallazgos de la documentación hallada en escáneres e impresora, si existe diligencia o algún tipo de documento que indique fechas en que el hallazgo se produce, persona que halla esos documentos, concreción de los documentos a través de la remisión de una copia al menos representativa de los mismos, y modo en que se han incorporado al expediente y conservado desde su hallazgo).

En segundo lugar, si no se hallaron dichos documentos, expliquen el motivo de porque se accede al equipo informático.

Manifiesta que esos hallazgos no fueron documentados, "únicamente se custodiaron en el ***DEPARTAMENTO.1". "Posteriormente, comprobando que algunos documentos aún estaban en el escáner, sí que se levanta acta de los existentes y se copian en un CD que se encripta con contraseña. El CD se encuentra en un sobre cerrado y firmado por los asistentes, custodiado por el inspector de policía local presente en dicho acto."" Se adjunta como DOCUMENTO TRES, acta de cumplimiento de providencia del regidor delegado de personal de 7/11/2019 en la que:

-acceden a una dirección de "acceso a la unidad escáner Algemesí.net/ficheros (W) que señalan y revisan los ficheros existentes en esa unidad que parezcan ajenos al trabajo que se desarrolla en ***DEPARTAMENTO.1, figurando 20 relaciones numéricas algunas comienzan por 2017, 2018 y 2019, pudiendo referirse el resto de numeración a la fecha". Indican que a continuación, un empleado procede a grabar una copia de los documentos existentes en este momento en la mencionada unidad en un dispositivo externó protegido con una contraseña registrada el archivo de contraseñas del departamento de informática y se guarda este dispositivo externo en un sobre firmado por todos los asistentes.

Figura DOCUMENTO CUATRO, "PROVIDENCIA DEL CONCEJAL SOBRE DOCUMENTOS ESCANER DE 6/11/2019" que del literal se desprende que en la solicitud de apertura de expediente disciplinario contra la reclamante, "se hace referencia a una serie de documentos encontrados en la carpeta informática de escaneo del ***DEPARTAMENTO.1 que podrían suponer que la funcionaria realizaba actividades personales o profesionales dentro de la jornada de trabajo que nada tenían que ver en sus funciones como ***PUESTO.1 y que incluso podrían resultar incompatibles. "El ***DEPARTAMENTO.1 está formado por tres funcionarios, la propia ***PUESTO.1, un técnico (...) y una auxiliar administrativa. Los documentos que figuran en la carpeta de escáner del departamento son visibles por todos los funcionarios que forman parte del mismo, al tratarse de una carpeta compartida. Según se indica desde el ***DEPARTAMENTO.1, en la carpeta compartida de escáner todavía quedan documentos de la funcionaria B.B.B. ajenos al trabajo que desarrolla en el ayuntamiento como ***PUESTO.1." "disponiendo que uno de los tres empleados que señala, acceda a la carpeta compartida del escáner de este departamento y proceda a la extracción e impresión de los documentos mencionados."" levantando acta" que firman diversos empleados como asistentes. Señala que el responsable de informatica guardará copia de los documentos extraídos en un dispositivo externo protegido, custodiándolo uno de los asistentes, citándose a los asistentes al acto, que tendrá lugar el 7/11/2019.

3.2 Copia de la resolución sancionadora recaída por los hechos contenidos en la orden de incoación de disciplinario.

Se responde que el expediente no está finalizado, pues quedó suspendido por la interposición de la reclamante de procedimiento penal, que quedó archivado con auto de sobreseimiento provisional , en el que no se apreció delito, figurando copia en DOCUMENTO CINCO.

El 10/03/2020 se produjo el levantamiento de la suspensión del procedimiento, figurando en copia en DOCUMENTO SEIS.

3.3 Copia del DVD conteniendo el resultado de los accesos al equipo informático de la reclamante y copia de la entrega a la reclamante cuando lo solicita.

Se contiene en DOCUMENTO SIETE que no se puede enviar por sede electrónica y se envía un DVD, siendo el registro de entrada de 15/07/2020 número ***NUMERO.3 que la clave para desencriptarlo figura en el escrito de manifestaciones presentado en la Agencia, refiriéndose al de entrada de 6/07/2020( remite por sede electrónica señalando la contraseña para la apertura). Al abrirse, se observa una estructura de DOCUMENTO SIETE, ALGEMESÍ, y tres carpetas, capacidad de los datos almacenados, 1,71 GB:

-carpeta 1 denominada DESKTOP, traducción escritorio, propiedades: 31.335 KB, cuatro carpetas, 80 archivos Figuran entre otras, la carpeta CLAVES PERSONALES, de la clave de portal del empleado, borradores contrato cesión actividad ópticas, contraseña acceso Ayuntamiento Algemesí de la reclamante , documento certificado titularidad de cuenta de la Caixa de la reclamante, nómina de abono a empleado de empresa franquicia ***EMPRESA.1

-carpeta 2 denominada DOWNLOADS, descargas, propiedades: 1.824.810 KB, 1049 archivos.

información sobre franquicia ***EMPRESA.1, cuenta de resultados SPA, facturas de empresa de fotografía a nombre de otra persona.

-carpeta 3 denominada MIS DOCUMENTOS, 8 carpetas siendo las más relevantes:

· C.C.C. PERSONAL, con 14 carpetas y 7 archivos. Se contienen por mencionar alguna parte de sus contenidos, la renta de la reclamante presentada en 2015, en la carpeta T CUENTAS E.E.E. información sobre nota de reparos en un expediente, parece que es información de tipo profesional desarrollada en el Ayuntamiento, Contrato de seguro con ZURICH motor de un vehículo a nombre de la reclamante fecha de efecto de vigencia del contrato 23/07/2015, listado de cuentas anuales pérdidas y ganancias del ejercicio 2017 de la empresa ***EMPRESA.3 , documentos sobre una sociedad que se dedica al negocio de la óptica denominada ***EMPRESA.4 , nómina de mes de noviembre 2016 de la reclamante, solicitud aplazamiento impuesto plusvalía de 2/12/2016, alegaciones sobre un procedimiento sancionador del Ayuntamiento de Valencia, documento de reconocimiento de situación económica entre la reclamante y otra persona, recibos y adeudos de esa tercera persona así como documentos a ella referidos

· EXPTES VALLADOS SOLARES,

· INSTRUCCIONES GEST DOC,

· PENDIENTE, vacía

· TEMAS PERSONAL. Figura la nómina de 8/2016 de la reclamante, certificados de temas de personal, DNI escaneado, fotografía y títulos de la reclamante , clave máster usuario y contraseña, currículo para realizar un máster en el INAP.

- En DOCUMENTO OCHO se contiene un escrito de 10/04/2018 dirigido a la reclamante en relación con la remisión de copia de documentos del expediente "completo relativo al orden del plenario del Ayuntamiento de ***FECHA.1 sobre la posible apertura de un expediente disciplinario, "solicitado el 10/04/2018", entre los que se comprende el "dictamen de la Comisión informativa de personal" no figurando relacionado el DVD extraído de su ordenador.

También se le informa de los documentos que se enviaron a los miembros de la "Comisión informativa de personal, figurando desde 15/02/2018 algunos relacionados con su supuesta justificación de ausencia del trabajo el 9/02/2018 alegando asistencia a una jornada formativa en el Ayuntamiento de Valencia y las pesquisas realizadas por la alcaldía sobre si dicha jornada existía, certificándose por el Ayuntamiento de Valencia que no existía. SE envió también la providencia de la alcaldía de ***FECHA.3 ordenando al departamento de Informatica de la revisión del ordenador del trabajo de la funcionaria.

Manifiestan sobre dicho DOCUMENTO OCHO, que " aunque figura erróneamente que el DVD se entregó a los miembros de la Comisión informativa, sin embargo, en ningún caso se produjo su entrega a la Comisión informativa, como queda aclarado en el DOCUMENTO 9". En este documento, a petición de la ***PUESTO.2 de 10/01/2019, sobre aclaración sobre el escrito del 10/04/2018, sobre si se remitió o no a los miembros de la comisión informativa de personal celebrada el ***FECHA.2 el DVD, se aporta el certificado DOCUMENTO NUEVE en el que indica que aunque se relacionaba a la denunciante el 10/04/2018 que se había enviado a la comisión informativa el DVD, esto "fue un error de copia pega" procedente del escrito del acuerdo plenario en el que sí se solicitaba a la Dirección General de administración local apertura de expediente disciplinario organismo al cual si se remite el DVD para hacer competente para la evaluación del expediente manteniendo por tanto un error de transcripción

3.4 En la remisión de copia del expediente a la DGAL de la Comunidad Valenciana no figuraban los citados documentos hallados en el escáner en la impresora y fotocopiadora, asociados con una eventual infracción muy grave de incompatibilidades. Se le solicita qué informe si éstos les fueron remitidos y el motivo por el que no figuran en la relación de lo enviado. En el mismo sentido, si se remitió diligencia de contenido del DVD, relación de remisión de la misma.

Manifiestan que la copia de los documentos hallados en el escáner/ impresora, "no se remitieron inicialmente porque se entendió que con los datos facilitados a la Dirección General eran suficientes para el inicio del expediente, como de hecho así lo estimó la propia D. Gral. al decidir su incoación". Relaciona los documentos que se enviaron a la DGAL el ***FECHA.4. Algunos de ellos tratan sobre la supuesta asistencia a una jornada de formación que el Ayuntamiento de Valencia certifica no existió, la providencia de la alcaldía de ***FECHA.3 de intervención del ordenador y la COPIA DEL DVD;"DVD en el que figura la documentación sacada del ordenador del trabajo de la interesada que evidencian la realización dentro de la jornada laboral de otras actividades personales y profesionales que además podrían resultar incompatibles con su puesto de trabajo"

Continúa manifestando que "posteriormente, al comprobar que aun existían documentos en el escáner, se levantó acta de dichos documentos y se recogieron en soporte informático encriptado", señalando el DOCUMENTO CUATRO "providencia del concejal sobre documentos escáner" y DOCUMENTO TRES "acta de cumplimiento de la providencia" y mencionados en el punto b

Finaliza indicando que "No se hizo diligencia del contenido del DVD porque no se abre ningún documento. Se comprueba por el título dado a los mismos que son documentos que nada tienen que ver con el puesto de trabajo, pero no se hace un examen exhaustivo de los mismos".

3.6. En sus alegaciones indican que se entregó a los empleados el 18/10/2018, un protocolo establecido sobre confidencialidad, medidas de seguridad y política de seguridad de la información, se les solicita copia del mismo en lo referente en su caso, solo al acceso, prohibiciones o uso de los medios de trabajo y advertencias de monitorización de equipos, si las hubiera, y modo en que se ha puesto en conocimiento de los empleados. También se solicita que informe sobre si antes de estos documentos, existía información sobre dichos extremos, política sobre uso de equipos informáticos, correos electrónicos del equipo, uso de soportes como pendrives, cds.

Manifiesta que aportan DOCUMENTO DIEZ- ANEXO II, medidas seguridad personal que en el punto 3 refiere sobre el uso de los ordenadores, prohibiéndose almacenar "datos personales sin autorización" "El empleado que desea utilizar su dispositivo personal para finalidades empresariales tiene que comunicarlo previamente a su superior, y en caso de autorizársele tiene que implementar medidas de seguridad oportunas que garanticen la seguridad y confidencialidad". También se contemplan aspectos como el uso de los correos electrónicos, navegación por internet, que el uso del dispositivos para finalidades laborales no se tiene que utilizar para particulares, soportes como USB o DVD, descarga de aplicaciones.

Figura una referencia al control de la actividad laboral a través de la aplicación del artículo 20.3 del Estatuto de los trabajadores para verificar el cumplimiento de las obligaciones y deberes laborales, indicando que el uso particular queda completamente excluido, no se permite el envío y recepción de mensajes privados, ni almacenamiento de fotografías o documentos particulares. Entre los sistemas de control previstos se impone "el registro y la revisión de la navegación, alertas automáticas sobre envío de mensajes con ficheros adjuntos y revisión y acceso de correos electrónicos sospechosos durante la ausencia del usuario en caso de que sea necesario".

3.7 Sobre la orden o diligencia de intervención del ordenador de la reclamante, se le solicita:

a-informe o aporte copia del mensaje o mensajes o escritos que se remiten a la persona a la que se encargó el acceso al equipo (D.D.D., ***PUESTO.3, que declaró en el proceso judicial que "Por correo electrónico le llegó la providencia", se solicita que envíen copia del mismo). Modo, explicación o instrucciones que existían o se dieron para articular los accesos al equipo informático. Expresamente, si se indicó el acceso al correo electrónico y si se obtuvieron datos de este.

Responde que figura en DOCUMENTO ONCE la notificación a través del gestor documental como adjunto por email. En la copia que se ve al abrir el documento se ve un correo electrónico de ***FECHA.3 enviado desde dominio Algemesí.net <http://Algemesí.net> asunto envío Ayuntamiento Algemesí, con el texto "te adjunto la providencia de la alcaldía, envío desde GEstdoc., y se ve un literal "providencia inspección ordenador.pdf" No aparece ni se ve el documento.

"La única instrucción que se le da, es la que indica la providencia que se adjunta como DOCUMENTO DOCE" "providencia revisión ordenador sobre cumplimiento de la normativa de datos de carácter personal y máxima confidencialidad". El DOCUMENTO 12 que no lleva fecha, firmado por la ***PUESTO.2 reseña que dado que se han encontrado documentos -impresora y escáner- de la funcionaria... "sobre actividades que nada tienen que ver en las funciones públicas correspondientes a su puesto de trabajo como ***PUESTO.1 del ayuntamiento de Algemesí y que podrían resultar incompatibles con su puesto de trabajo" DISPONGO,

Que por el departamento de informática se acceda al ordenador de trabajo de la funcionaria A.A.A. a fin de comprobar la existencia de documentos que evidencian actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas.

Todo aquello se realizará siempre desde el cumplimiento de la normativa de protección de datos de carácter personal y con máxima confidencialidad destinando la información que se pueda obtener a los solos efectos de los expedientes que a la vista de los documentos obrantes puedan iniciarse"

"En ningún caso se accede al correo electrónico de la interesada ni se ordena dicho acceso en la providencia." Se adjunta informe sobre el acceso a los datos como informe de informática, DOCUMENTO TRECE, que firma D.D.D. sin verse la fecha. Se indica que "Realiza un volcado de documentos en apoyo digital, el cual entregó a la alcaldía". "De los documentos extraídos en la mencionada tarea de volcado, parte de los mismos estaban alojados en una carpeta conectada en red a uno de los servidores del Ayuntamiento". No se señala extremo alguno por la persona que accedió, a si extrajo datos de correos electrónicos.

b-Sobre si la ***PUESTO.2 que firma la intervención en el equipo se hallaba con el Sr. D.D.D. cuando este accedió a la carpeta de mis documentos de la reclamante, y motivo por el que accedió además a otros documentos del ordenador de la reclamante, situados en el "escritorio", y que bases o parámetros de búsqueda se tenían antes de acceder al equipo.

Manifiesta que el acceso al ordenador lo hace desde el ordenador de D.D.D., no desde el ordenador de la reclamante y que la ***PUESTO.2 no estaba presente. El ***PUESTO.3 plasmó en DOCUMENTO TRECE dicho acceso.

c-En el DVD se copiaron tres carpetas conteniendo información almacenada, y no se hizo diligencia de fecha, ni de su contenido, no se registró como soporte de información, ni se diligenció la entrega de copia a la ***PUESTO.2. A este respecto, informen si conocían que cualquier soporte que contenga información, datos de carácter personal que como en este caso se destinan a pruebas en un procedimiento, tenían que estar detallado el modo de acceso, el contenido al que se accede, el resultado, fecha, numero de soporte de registro o encriptación del mismo, y registros de copias identificadas del soporte, si existían normas al respecto, y si se le hizo saber a Sr. D.D.D.. Ha de indicar asimismo que normas sobre la cuestión existen actualmente sobre copias de soportes con información y datos de carácter personal.

Manifiesta que si bien el DVD es un soporte, al formar parte de un expediente disciplinario, "no constituye un soporte a los efectos de la normativa entonces aplicable, el RLOPD RD 1720/2007."

Añade que el Ayuntamiento dispone de un sistema de gestión de seguridad de la información conforme al Esquema Nacional de Seguridad,(ENS) existiendo un inventario de soportes. Aportan DOCUMENTO CATORCE, normativa de seguridad en el que se contempla el mantenimiento y destrucción de dispositivos y soportes que contenga información protegida y el régimen de salidas y entradas de datos. El documento se titula "normativa de seguridad 4/09/2018, consta de 13 páginas. Se refieren entre otros aspectos a la confidencialidad, integridad y trazabilidad, y su aplicabilidad en el servicio expedientes de personal y se habla de un comité de gestión y coordinación de la seguridad de la información. Adjuntan copia de DOCUMENTO QUINCE, sobre reutilización y destrucción de soportes de equipos. El documento lleva fecha 25/10/2018, consta de siete páginas. Trata sobre procedimiento que describe la metodología a seguir para reutilización, borrado y destrucción de soportes de información propiedad del Ayuntamiento, aplicable a los elementos que componen los sistemas de información dentro del ámbito de aplicación del ENS. Indica como elementos de soporte, elementos que están adquiridos que ha sido inventariados y etiquetados referido a soportes y equipos. En ese sentido no se menciona ni se entra en detalles sobre los soportes físicos que tratan la información como el DVD sino que está protocolo se refiere a equipos, sí que menciona los soportes no regrabables como los DVD o CD indicando que el procedimiento de destrucción puede ser cortándolo pero no menciona la integración de estos soportes como sistemas de información que contienen datos.

4. A LA RECLAMANTE, se le solicita que en el plazo de diez días aporte copia o informe de:

-Copia de sentencia recaída en contencioso administrativo sobre el asunto disciplinario, si es firme, o situación procesal de la misma.

-Según manifestó: el ***FECHA.5 se desestimó la demanda interpuesta contra el acuerdo del Ayuntamiento de solicitar la incoación de expediente disciplinario contra la ***PUESTO.2, demanda en la que entre otras alegaciones aludía a la vulneración de sus derechos por la decisión de acceder a su ordenador. Se le solicita copia de la sentencia de dicha demanda por poder contener algún pronunciamiento de relevancia para los hechos sobre el acceso al equipo informático.

La reclamante no contestó a lo solicitado.

DÉCIMO PRIMERO: Con fecha 22/09/2020 se acuerda ampliar pruebas y se envía al reclamado la petición de la siguiente información:

1) Si conoce si ha recaído ya resolución acuerdo en el procedimiento disciplinario, aporte copia, o indique en qué fase se encuentra.

Respondió el 7/10/2020 que lo desconoce.

2) Sobre los documentos que aportó en pruebas, en la mayoría no figuran la fecha de su firma, consta:

"Y, para que conste y tenga los efectos que correspondan, libro este documento a petición de la Sra. ***PUESTO.2, C.C.C..Algemesí a la fecha de la firma. Documento firmado electrónicamente. Código de verificación al margen."

En otros la firma es de otra autoridad, pero el hecho es que no se visionan dichas fechas. Por ello, con el fin de aclarar las fechas de firma de cada escrito, se pide que se subsane aportando copia en la que se puedan ver las fechas o una relación de los documentos, excepto la/s sentencia/s y en los documentos que lleven fecha como el de documento de seguridad -esquema nacional, que forman parte de cada archivo, con el título y la fecha en que esa firma electrónica del documento tuvo lugar.

Manifiesta:

-"En lengua valenciana sí que figuran las fechas, y no figuran por haberse traducido al castellano para este procedimiento. DOCUMENTO 4, "providencia del concejal sobre documentos escáner es de 7/11/2019."

-"El DOCUMENTO TRES, "acta de cumplimiento de la providencia", tiene la fecha en el propio documento, 7/11/2019."

3) En DOCUMENTO TRES se relacionan solamente los códigos de unos documentos que figuraban en una carpeta del escáner, y se dice que se imprimieron y se copiaron los documentos y se guardaron en un CD. A tal efecto, se solicita que envíen alguna muestra documental física de esos documentos hallados relacionando número-documento de que se trate, y como derivaron que correspondían a la reclamante, (pueden remitirlo bien sea en papel bien sea en un CD), y detallen:

Manifiestan que aportan en DOCUMENTO 18, fichero encriptado con contraseña en un escrito separado, los documentos que figuran en el CD. (El código para abrirlo se halla en el mismo escrito de entrada 7/10/2020, número registro ***NUMERO.4, figurando como escrito de salida del remitente, "personal de 6/10/2020", folio 327 del procedimiento.

Manifiesta que el código de cada documento es el propio nombre del archivo. "Se dedujo que podían pertenecer a la reclamante por aparecer en el escáner de ***DEPARTAMENTO.1, al cual solo tenían acceso las tres personas del mismo, que comprobaron que allí se alojaban documentos ajenos a las funciones propias del puesto de trabajo y que incluían el nombre de la reclamante" .

Se aprecia que el documento 18 no es recibido.

3.1) Si los empleados conocían que cualquier fotocopia o documento que se escaneara-fotocopiara, queda guardado en dicha carpeta del dispositivo.

Manifiesta que dentro del marco establecido en el Estatuto básico del empleado público, articulo 54.5 que determina que los funcionarios públicos administrarán los recursos y bienes públicos con austeridad, y no utilizaran los mismos en provecho propio o de personas allegadas, no era necesario reiterar las obligaciones de uso con los medios públicos -Ayuntamiento-, pues si se regulara el uso de cualquier bien público, como es el escáner, adquirido con dinero público en un edificio público destinado a funciones públicas, se produciría una hipertrofia de normas infra legales. Considera que "No rige expectativa de privacidad alguna siendo indiferente si los documentos que se envían a la fotocopiadora o el escáner quedan archivados en alguna carpeta del propio dispositivo".

Añade que se informó a los empleados de las medidas de seguridad a aplicar mediante el ANEXO II, medidas seguridad personal, aportado ya como DOCUMENTO 10, en el que se expresaba tanto la prohibición de uso personal o privado de los recursos del Ayuntamiento como de la obligación de borrar los archivos temporales, con el siguiente tenor:

(...)14. Queda prohibido utilizar los recursos de los sistemas a que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales del Ayuntamiento de Algemesí.

(...)11. Todos los ficheros temporales que los usuarios mantengan en sus ordenadores personales tienen que ser borrados una vez haya acabado el motivo para el cual fueron creados.

3.2) -Si existía o existe norma aplicable sobre régimen de copias/escaneos de documentos.

Manifiesta que a ello se refiere la normativa de seguridad SGSI02 aportada como DOCUMENTO 14 que indica:

"7.2 Uso, mantenimiento y destrucción de dispositivos o soportes que contengan información protegida "17) La impresión o fotocopia de documentos debe limitarse únicamente aquellos que sean estrictamente necesarios y preferiblemente a doble cara. Los documentos desechados, incluidas las fotocopias erróneas no podrán ser reutilizados cuando contengan datos personales o información confidencial o restringida debiéndose proceder a su inmediata destrucción".

3.3) -Si los empleados podían o han podido efectuar para sí, escaneos de documentos privados sobre permisos, bajas médicas, etc.

Responde que queda contestada en el punto 3.1.

3.4)- Explique si cualquier empleado puede visualizar e imprimir cualquier documento que se haya fotocopiado o escaneado, o si hay un administrador que puede ver y fotocopiar dichos documentos.

Indica que los documentos fotocopiados no se almacenan en ningún soporte cuyo contenido pueda ser consultado posteriormente.

En cuanto a los documentos escaneados, "hasta el primer trimestre del 2020, cada Departamento disponía de una carpeta alojada en los servidores, en la cual se depositaban los documentos escaneados desde los equipos multifunción. A la carpeta de cada Departamento sólo tenían acceso los miembros de dicho departamento y los administradores del sistema."

Actualmente, cada usuario dispone de su propia carpeta personal de documentos escaneados, con acceso exclusivo del usuario y los administradores del sistema.

-Si estos documentos hallados se han comunicado a alguien relacionado con el procedimiento.

Señala que los hallazgos en " la impresora, no fueron documentados", pasando a su custodia al ***DEPARTAMENTO.1. Respecto a "los documentos del escáner, en un principio tampoco se documentaron ni se levantó acta". "Posteriormente, comprobando que algunos aún estaban en el escáner, sí que se levanta acta de los existentes y se copia en un CD que se encripta con contraseña. El CD se halla en sobre cerrado y firmado por los asistentes, custodiado por el Comisario de la policía local dentro de una caja fuerte en su despacho, bajo llaves. No se ha comunicado a nadie su contenido a excepción del presente procedimiento ante la AEPD"

4) En DOCUMENTO 9 aportado en pruebas indican que si enviaron el DVD a la DGAL encargada de la apertura e instrucción del disciplinario, si bien indican que no lo hicieron en un primer envío y no figura en la relación, se les solicita que remita copia del escrito en el que se contenga la fecha y la remisión del DVD, si se incluyó algún elemento para que se supiera que era copia, se enviaba encriptado y si contenía alguna identificación como soporte físico que contiene datos de carácter personal que correlacione su contenido e identificación.

Manifiesta que el DVD se entrega presencialmente por registro de entrada a la DGAL, junto con el resto de la documentación del expediente disciplinario para evitar cualquier pérdida o extravió. "No se entrega encriptado". Adjuntan copia del envío del Ayuntamiento de ***FECHA.4 a la DGAL, del acuerdo del pleno de ***FECHA.1 que acuerda solicitar el inicio de procedimiento disciplinario a la misma, con el listado de la documentación que se acompaña, donde aparece en el noveno, el DVD.

Manifiesta que en DOCUMENTO 17, justificante del registro de entrada en dicha entidad, de fecha 18/04/2018, junto con el escrito de la ***PUESTO.2 solicitando se incorpore al expediente disciplinario el DVD fue presentado por registro presencial ante la imposibilidad de adjuntarlos por la plataforma de la DGAL. El documento tiene un justificante de entrada de documentos presentados por el reclamado con cinco documentos pdf asociados; denominados Formulario de datos personales, oficio remisión, acuerdo del pleno, documentos del expediente, ficha de la trabajadora. Acompaña un escrito de la ***PUESTO.2, dirigido al órgano competente de la instrucción del procedimiento, de 19/04/2018, en el que indica que en relación con el requerimiento del 17/04/2018 para que se presentará por medios electrónicos el acuerdo del pleno del ***FECHA.1, se indica que en la plataforma de la Consejería para presentar en registro no permite adjuntar archivos que exceden de cierta capacidad, y que el DVD está integrado por centenares de documentos y que no se puede aportar uno a uno, por no ser operativo y a causa de ello ya que en el DVD se encuentra información importante, se ha presentado por el registro presencial.

5) Un DVD es un soporte físico que además de como en este caso, poder contener datos profesionales del empleado es susceptible de contener otros datos de carácter personal e información sobre la entidad. Todos ellos además susceptibles de producir efectos jurídicos para la afectada y responsabilidades (perdida del DVD, copia, etc.) .En este caso además forma parte de un expediente disciplinario que constituye una serie de trámites ordenados con datos de carácter personal que identifican a la persona. Por tanto se les cuestiona que indiquen que medidas técnicas y organizativas tomaron con respecto al DVD para la identificación e integración en el expediente como soportes, donde se guarda, quien tiene acceso físico, que medidas de seguridad físicas hay en esa dependencia si se registra y contenidos y accesos al mismo, con el fin de evitar riesgos como sustracciones, copias, envíos parciales o totales de contenido. Si hay un protocolo de respuesta en caso de incidencia, periodo de conservación, que medidas contemplan en las copias de soportes que se puedan remitir a otras entidades, cuantas copias del DVD se han efectuado en este procedimiento, y si este tipo de soportes físicos por tamaño o por otras causas es una excepción en el almacenamiento de la información en sus sistemas de gestión.

Indica que se han realizado dos copias del DVD, una para ser entregada al órgano competente de la instrucción del procedimiento, y otra que queda en poder del Ayuntamiento como parte necesaria del expediente de referencia. La copia del Ayuntamiento que ha servido para una posterior copia solicitada por la Agencia se encuentra custodiada en una caja fuerte en el despacho del Comisario de Policía local, dotado de puerta con llave. En cuanto a la normativa sobre el uso y destrucción de soportes, "que contengan información protegida", el documento de seguridad que figura aportado en DOCUMENTO 14, indica en su punto 7.2 que "cuando la información sea calificada como "restringida o confidencial" deberá guardarse en los lugares designados al efecto por el responsable de la unidad correspondiente al final de la jornada, en todo caso al abandonar el puesto cuando su conformación no permita que esté bajo el control de algún usuario". Por otro lado, el tamaño del DVD no permite almacenamiento en el gestor de expedientes digitales y este tipo de soportes físicos es una excepción en el almacenamiento de la información de los de sus sistemas de gestión. En cuanto a los controles de acceso físico y lógico, el documento de seguridad indica que el acceso físico a áreas que contengan información confidencial o restringida, solo se permite al personal autorizado por responsable de la unidad correspondiente. En este sentido el comisario de la policía local es el único que dispone de la llave de su despacho. "

5) En pruebas aportaron DOCUMENTO 13, que firma D.D.D. sin verse la fecha. Se indica que "Realiza un volcado de documentos en apoyo digital, el cual entregó a la alcaldía". "De los documentos extraídos en la mencionada tarea de volcado, parte de los mismos estaban alojados en una carpeta conectada en red a uno de los servidores del Ayuntamiento"

-Se le solicita que explique según se deduce del relato:

· Repercusiones que tiene o que supone la afirmación "que parte de los mismos estaban alojados en una carpeta conectada en red a uno de los servidores del ayuntamiento", y a que se refiere con parte, y si puede identificar que carpeta es esa parte.

· En el mismo sentido que implicación tiene a nivel informático que el resto no estuviera en su caso conectado a un servidor del Ayuntamiento, si ello era así.

Manifiesta que la fecha del documento es de 26/10/2018. Detalla que una carpeta alojada en un servidor se incluye en las copias de seguridad diarias que realiza el organismo. Se trata de la carpeta "mis documentos", al cual para todos los usuarios es alojada en los servidores para garantizar integridad y disponibilidad. A dicha carpeta solo tiene acceso el usuario y los administradores del sistema. También señala que las carpetas no conectadas a servidores se encuentran alojadas en el PC local que utiliza el usuario.

-Por otro lado, en DOCUMENTO TRECE que aportaron en pruebas, el técnico informático no indica si accedió al correo electrónico de la reclamante, teniendo en cuenta que la providencia se refería a "se acceda al ordenador de trabajo de la funcionaria A.A.A. a fin de comprobar la existencia de documentos que evidencian actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas. " y se hizo un volcado de documentos. A tal efecto, si puede acreditar esta manifestación, puede aportarla.

Responde que no se accedió al correo electrónico de la reclamante.

En un segundo escrito de entrada de 7/10/2020 se adjuntan cinco documentos pdf , numerados, denominados ***DOCUMENTOS.1.

En el número 1, nueve páginas en el que se ve diferente documentación de la entidad FRANQUICIA ***EMPRESA.1 de los que se deduce que podría ser parte de los documentos hallados en el escáner. Se aportan distintos documentos entre los que se ha de mencionar, dos de extinción de relación laboral de empleados de dicha empresa, un certificado de empresa del Servicio público de empleo estatal, pedido por la administradora de la entidad, la reclamante, sobre cotizaciones de una de las empleadas, o la petición de un certificado de empresa para la solicitud de incapacidad temporal, de 4/08/2017, nóminas de esas empleadas.

En número 2 de ***DOCUMENTOS.1, cuatro folios, documento de extinción de relación laboral de otra empleada, de 4/08/2017.

En el 3, cuatro folios conteniendo carta de extinción de relación laboral de una empleada de la misma entidad.

El documento 4, un documento firmado el 4/08/2017 por la reclamante como administradora única de la franquicia ***EMPRESA.1, dirigido a una empresa.

El documento 5, de 8 folios, también contiene carta de extinción de relación laboral de fecha 4/08/2017 de empleado de franquicia ***EMPRESA.1, nóminas del trabajador de julio y agosto 2017, documento de saldo y finiquito de ese trabajador, y certificado de empresa del Servicio Público de Empleo sobre ese trabajador con sus cotizaciones.

En el tercer escrito con entrada 7/10/02020, se aportan escritos denominados ***DOCUMENTOS.1, del 6 al 10, destacando como importantes:

El 6 es una hoja de la AEAT , consulta datos fiscales 2017 de la reclamante, con sus retribuciones en el Ayuntamiento, y figurando en el apartado de actividades económicas otros dos pagadores así como datos de préstamos y créditos ,o titularidad de inmuebles.

El 7, ejemplar para Contribuyente, el Ayuntamiento de Alicante, impuesto sobre bienes inmuebles con los datos de la reclamante y los inmuebles ,ejercicio 2018.

El cuarto escrito de entrada de 7/10/2020, porta los archivos adjuntos pdf números 11 a 15, ***DOCUMENTOS.1, tratándose de diligencias varias del procedimiento penal juzgado instrucción dos de Alzira, de la reclamante.

Figura el número 15, un informe del EVI, del Ministerio de trabajo migraciones y Seguridad Social, dirigido a la reclamante, evaluando la incapacidad sobre la contingencia del proceso de incapacidad temporal de la reclamante de 3/04/2019 en el que se recoge el motivo de la patología, enfermedad común, se indica que el proceso se inició con baja médica 25/07/2018, y no guarda relación con otro proceso anterior.

El ultimo escrito registrado con fecha 7/10/2020 contiene del número 16 al 20, ***DOCUMENTOS.1, tratándose de documentos diversos de la reclamante.

Se destaca en el 19, uno de reclamante en el que de 1/07/2019 aval en el que figura la reclamante. En el 20, copia de una transferencia bancaria de la reclamante Bankia, con fecha operación 18/04/2017 con los dígitos completos de la cuenta bancaria de ella.

Como quiera que no se anexaba el DOCUMENTO 18, el archivo comprimido, se pidieron explicaciones por e mail a la DPD, así como a que respondían los documentos 1 a 20 con el nombre de ***DOCUMENTOS.1, que el mismo 21/10/2020, con respondiendo:

"Indicarle que el documento zip que correspondía al doc. 18 no pudo ser enviado de forma protegido debido a que el sistema no permite el envío de documentos en este formato. Este documento se trataba de una carpeta comprimida con 20 documentos.

Por ello, este documento zip que era el n 18 incluía los 20 documentos enviados denominados ***DOCUMENTOS.1, desde el núme.ro <http://núme.ro> 1 al 20; inclusive. "

Ello queda trascrito en diligencia de Instructor ese mismo día.

DÉCIMO SEGUNDO: Con fecha 4/11/2020 se notifica propuesta de resolución con el literal:

"Que por la Directora de la Agencia Española de Protección de Datos se declare la infracción del artículo 6.1 de la LOPD del AYUNTAMIENTO DE ALGEMESÍ, tipificada como grave en el artículo 44.3.b) de la LOPD.

Que por la Directora de la Agencia Española de Protección de Datos se declare la infracción del artículo 9.1 de la LOPD en relación con los artículos del RLOPOD: 92, 97.1 y . 2 y 101, del AYUNTAMIENTO DE ALGEMESÍ, tipificada como grave en el artículo 44.3,.b) de la LOPD."

DÉCIMO TERCERO: Con fecha 17/11/2020 se presenta escrito de SEGURDADES, DPD de la reclamada en que se verifica que no se adjuntan. Se subsana el día 25/11/2020.

En las mismas se reitera lo manifestado, añadiendo:

1) No es aplicable la expectativa de privacidad a unos bienes titularidad pública, del patrimonio de la administración local, que por su "régimen" no pueden dar lugar a que exista esa tolerancia de usos. No es asimilable la aplicación de la doctrina "Barbulescu" a una entidad pública.

El Ayuntamiento como Administración Pública no tiene las facultades que puede tener una empresario de auto organización, dirección control y fijar las condiciones de uso de los medios informáticos asignados a cada trabajador, si bien el Ayuntamiento sí que tiene la obligación de proteger el patrimonio público y velar por que se destine a su finalidad pública, por lo que la obligación de verificar y asegurar que no se utiliza para finalidades particulares es ineludible en el contexto de la administración pública. Considera ,como ha remarcado la sentencia del Tribunal Supremo 594 /2018 de 8/02, en el fundamento jurídico sexto, que "la clara y previa prohibición de utilizar el ordenador de la empresa para cuestiones estrictamente personales nos lleva a afirmar que si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones porque al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad y porque si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo "

2) Manifiesta su disconformidad con la afirmación de que no existe norma expresa que advierta de que no se puedan utilizar los dispositivos para uso privado, pues existen normas con rango de ley que prevén además un régimen sancionador. Indica que tratar de imponer la creación o aprobación de documentos de seguridad, o códigos de conducta internos o protocolos vulneraría el principio de jerarquía normativa. Añade que una administración que permitiera un uso del ordenador del trabajo aunque fuera muy puntual y en tasadas tareas, sería contrario al propio Estatuto Básico del empleado público y a la normativa disciplinaria, que son normas con rango de ley. Manifiesta que incluso la mera tenencia de la reclamante en su ordenador de documentos particulares referentes a una o varias empresas, aunque sea en guardado, y no acreditara incumplimiento de incompatibilidades, puede suponer en beneficio de la reclamante, supone un uso de medios del Ayuntamiento para almacenar documentos ajenos a la función pública para fines particulares contrarios al Estatuto Básico del Empleado Público y legislación autonómica concordante.

3) Manifiesta que la revisión del ordenador se produjo por un hallazgo casual de la documentación en el escáner y sobre el volcado íntegro del contenido de las carpetas del ordenador de la reclamante en el DVD, su proporcionalidad y necesidad, manifiesta su disconformidad con la afirmación de la AEPD de que la investigación requiere cierta indagación en una dirección, no pudiendo constituir la investigación en un volcado de datos y manifiesta Ayuntamiento que esa fase de averiguación no es ni siquiera una parte del procedimiento incoado por lo que no tiene vocación de generar ni valorar prueba en su sentido procesal y su valoración deberá llevarse a cabo por otro órgano en la correspondiente fase del procedimiento disciplinario. El Ayuntamiento no puede asumir funciones de valoración de la prueba previas a la incoación del expediente y debe aportar la documentación que resulte pertinente, siendo ya posteriormente el instructor y órgano competente quienes delimiten, amplíen o reduzcan el alcance de la actividad probatoria.

4) En relación con la infracción del artículo 9.1 de la LOPD indica que no puede ser de aplicación en consecuencias sancionadoras el régimen de obligaciones de la legislación anterior al RGPD, pues en base al principio de retroactividad de las disposiciones sancionadoras que favorecen al infractor debe de aplicarse el citado RGPD. Indica que las conductas que describe el tipo del artículo 9.1 en el 44.3 h) de la LOPD, en el actual reglamento y normativa concordante, LOPDGDD, en cuanto a la tipificación resulta más favorable porque el actual régimen no está vinculado a la adopción de una lista concreta de medidas, sino que tal como dispone el artículo 73.1.f) se refiere a falta de adopción de medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento en los términos exigidos por el artículo 32.1 del reglamento, sin establecer ahora unas obligaciones concretas en el sentido del ya derogado RLOPD.

"En consecuencia sería aplicable el artículo 26.2 de la ley 40/2015 que indica las disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor o al infractor, tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción incluso respecto a las sanciones pendientes de cumplimiento al entrar en vigor la nueva disposición". Indica que las nuevas medidas establecidas o que se derivan del artículo 73.f) del RGPD, en relación con el 32.1 del mismo, no vincula el cumplimiento de las obligaciones de seguridad del responsable del tratamiento a unas medidas concretas sino que se originan a través del enfoque de riesgo y que en tal sentido no se ha valorado durante el procedimiento la concurrencia de las previsiones que señala el citado artículo 32 del RGPD como actividad probatoria pertinente para declarar este tipo de infracción.

HECHOS PROBADOS

1) La reclamante prestaba servicios en el Ayuntamiento de Algemesí como funcionaria con habilitación de carácter nacional, como ***PUESTO.1.

2) A la reclamante le es entregado el 27/03/2018 un acuerdo de notificación de solicitud de incoación de expediente disciplinario adoptado por el Pleno el ***FECHA.1 a propuesta de la alcaldía, de 20/03/2018. Entre los hechos relatados, junto a la justificación de asistencia a unas supuestas jornadas de formación por el reclamado, y faltas de justificación horaria, se indica en el punto segundo, qué: "al haber aparecido documentos en el escáner y la impresora que podrían suponer que la reclamante realiza actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones de ***PUESTO.1 y que incluso podrían resultar incompatibles, mediante providencia de ***FECHA.3, se ordenó al departamento de informática que investigue los documentos del ordenador personal de trabajo para aclarar esos hechos "De la inspección efectuada se obtuvieron varias carpetas de documentos personales sobre actividades privadas que se grabaron en un CD"

3) En el mismo acuerdo del Pleno de notificación de inicio se remite documentación al órgano competente para la instrucción, la Dirección General de la Administración Local de la Comunidad Valenciana (DGAL), si bien la copia del DVD se presenta en registro por el reclamado el 18/04/2018, manifestando que era la primera copia efectuada, que no iba encriptado, ni portaba elemento alguno que lo identificara como soporte de su contenido.

4) La Providencia de la Alcaldía firmada el ***FECHA.3 indica: "Considerando que se han encontrado documentos-impresora y escáner- de la funcionaria ...sobre actividades que nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo como ***PUESTO.1 del Ayuntamiento...y que pueden resultar incompatibles con su puesto de trabajo"

DISPONE: "Que por el Departamento de informatica se acceda al ordenador de trabajo de la funcionaria, a fin de comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas"..."destinando la información que se pueda obtener únicamente a los efectos de los expedientes que a la vista de los documentos obrantes puedan iniciarse."

5) En cuanto al modo en que se hizo el acceso al ordenador de la reclamante el ***FECHA.3, , titularidad del Ayuntamiento, y con el que prestaba sus servicios, según indica el funcionario, ***PUESTO.3 que lo llevó a efecto con clave como administrador del sistema, sin necesidad de acudir físicamente al mismo, manifestando que no vio ni le fueron mostrados los documentos hallados en la impresora y escáner. "Le dijo la ***PUESTO.2 que había que hacer una inspección de documentos" "De la carpeta mis documentos que se encuentra en los servidores, visible solo por cada usuario cogió las carpetas que había en mis documentos "y además, otros documentos del ordenador del escritorio, siendo dos o tres carpetas" "Los seleccionó y los copió en un DVD, conforme a las instrucciones recibidas por la ***PUESTO.2." "El DVD no se encriptó y se lo dio personalmente a la ***PUESTO.2 en el momento en que lo grabó" "No llegó a abrir ningún documento" "Cuando se hizo la intervención del ordenador, no se hacía ninguna advertencia a los funcionarios sobre el contenido de la información que se podía tener en los ordenadores, porque no había entrado en vigor el RGPD y no era necesario" "no se hizo ningún acta de intervención, el declarante estaba solo cuando se hizo y se lo entregó directamente a la ***PUESTO.2, sin tampoco ningún acta de diligencia" ""No entró en el correo electrónico ni en los datos de navegación".

También manifiesta la reclamante que no se hallaba presente en ***FECHA.3 cuando se copian los datos de su ordenador, declarando que se entera cuando recibió el 27/03/2028 la notificación del acuerdo de solicitud de incoación de disciplinario. Los representantes de los trabajadores tampoco fueron advertidos de dicho acceso ni de los documentos aparecidos en el escáner.

6) Los concretos y supuestos documentos aparecidos en el escáner y en la impresora, inicialmente, no son especificados ni figura diligencia que explique el modo en que se llega a saber de esos documentos, donde estaban, quien los encuentra, o en qué fecha. No consta que se enviaran como documentos a la vista del Pleno. Tampoco consta que se entregara o se pusiera a disposición del Pleno el contenido del DVD que contenía los documentos hallados en el ordenador en el que la reclamante prestaba sus servicios para el reclamado. El contenido del DVD, según el reclamado, solo fue mostrado a un miembro de un grupo político que tenía que votar en el Pleno y por esta razón. Además, según declaró el 20/03/200 la jefa encargada de la gestión de personal en el procedimiento penal seguido por a reclamante, los "documentos que aparecieron en el escáner" no formaban parte del expediente administrativo que se elevó a la Dirección General para el inicio del procedimiento.

7) Del contenido que figura en el DVD enviado por el reclamado en pruebas, que plasma los documentos copiados del ordenador usado por la reclamante al ejecutar la providencia de acceso al equipo, de ***FECHA.3, se destaca que se contenían tres carpetas, "mis documentos", y "download" con espacio de 1,71 GB. LA <http://GB.LA> vista de las tres carpetas revela que se contiene tanto información profesional como personal, copia de contrato de seguro de vehículo, declaración de hacienda, datos de contratos de préstamo hipotecario, o pago de bienes inmuebles, claves personales , datos bancarios, y de empresas como la franquicia ***EMPRESA.1, cuenta de resultados ***EMPRESA.2, facturas de empresa de fotografía a nombre de otra persona, listado de cuentas anuales pérdidas y ganancias del ejercicio 2017 de la empresa ***EMPRESA.3 , documentos sobre una sociedad que se dedica al negocio de la óptica denominada ***EMPRESA.4.

8) De la información obtenida en pruebas se verifica que la expresión "documentos aparecidos en el escáner-impresora", refiere, no a el hallazgo casual de documentos en dicho espacio físico, sino al almacenamiento en la memoria interna del escáner que utilizaban los tres empleados del ***DEPARTAMENTO.1, y al modo de configuración en que de dicho medio se encontraba, permitiendo el almacenamiento como fichero, de este tipo de información. El almacenamiento en dicho espacio se produce en formato pdf con un número secuencial que refiere según se deduce, unos cuatro primeros dígitos que revelan el año, los dos siguientes el mes y los dos siguientes el mes, siguiéndole un número secuencial. Finalmente, se levantó diligencia el 7/11/2019 , considerando una providencia del regidor y de conformidad con las instrucciones del servicio de protección de datos. En ella se indica que se accede a una dirección en la que se almacenan los ficheros de ***DEPARTAMENTO.1 . La diligencia expresa que hay 20 documentos, identificados por sus números, sin revelarse el contenido, figurando fechas desde 2017 a 2019. En la diligencia se hace constar que se pasan, copian los mismos, a un CD y se custodian.

En pruebas se obtiene copia de estos documentos, que se envían como archivos pdf con la denominación ***DOCUMENTOS.1 en pdf numerados de 1 al 20. Entre los documentos hallados hay diversos de la FRANQUICIA ***EMPRESA.1 y relacionaos como las nóminas de sus empleados pudiéndose deducir que la reclamante era administradora de esta entidad. También se aprecia que se escaneo por la reclamante un documento relacionado con su salud, el número 15, sobre Resolución de expediente de determinación de la contingencia causante de un proceso de IT en el que figura un informe del Evi conteniendo la patología diagnosticada.

Según indica el reclamado, a las carpetas que figuraban en el escáner del departamento podía acceder cualquiera de los tres empleados de la misma, precisando que uno de los empleados vio los citados documentos, advirtiendo a los responsables.

Preguntado el reclamado sobre si a los empleados se les advirtió de que al usar el escáner quedaban sus documentos y los datos que se contenían almacenados, así como el uso, acceso y derechos sobre los mismos, el reclamado manifestó que no tenía obligación de ello, sobrentendiéndose de las normas generales derivadas del Estatuto básico del empleado público y de la Comunidad autónoma. Según manifestó al reclamada, esa configuración del escáner de acceso múltiple a carpetas del escáner ha sido variada.

9) No consta que el reclamado tuviera, al momento de suceder los hechos, acceso al ordenador usado por la reclamante, el ***FECHA.3, una política y protocolos de uso del equipo informático de los empleados, prohibiciones o tipos de accesos permitidos, con advertencia sobre medios de control y consecuencias del mismo.