Sanción a ayuntamiento por buzonear un auto judicial sin su previa anonimización


AEPD 05/07/2021

Se interpuso reclamación contra un ayuntamiento por repartir por los buzones del municipio la resolución de un auto judicial en la que figuraban datos personales de terceros.

La AEPD considera probado que el ayuntamiento difundió la resolución judicial sin su previa anonimización.

Por ello, le impone la sanción de apercibimiento al entender que el ayuntamiento debió suprimir los datos personales contenidos en el auto, a pesar de que con su difusión tuviera interés general.

Además, requiere al ayuntamiento para que actualice su política de privacidad y adopte las medidas correctoras oportunas.

Agencia Española de Protección de Datos, Resolución, 5-07-2021

ANTECEDENTES DE HECHO 

 

PRIMERO: Las reclamaciones interpuestas por A.A.A., y B.B.B. (en adelante, los reclamantes) tienen entrada con fecha 1 y 10 de julio de 2020 en la Agencia Española de Protección de Datos. Las reclamaciones se dirigen contra el AYUNTAMIENTO DE CADREITA, con NIF P3106300A (en adelante, el reclamado).

Los motivos en que basan las reclamaciones son que el citado ayuntamiento ha buzoneado en todas las casas del vecindario sin anonimizar, el Auto nº 109/2020, en el que los reclamantes aparecen como parte.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), con número de referencia E/06033/2020, se dio traslado de dicha reclamación al reclamado el 6 de agosto de 2020, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

Esta Agencia en respuesta a su requerimiento recibe del citado ayuntamiento un documento donde se manifiesta que se han puesto en comunicación con los reclamantes remitiéndoles el 3 de septiembre de 2020 la siguiente carta:

<< El Ayuntamiento de Cadreita ha remitido a NAVADAT (empresa que ha sido designada para la realización de las funciones de delegado de protección de datos) escrito de traslado y copia de la reclamación que ha interpuesto ante la Agencia Española de Protección de Datos.

A través de la presente comunicación queremos ponernos a su disposición y trasladarle nuestra voluntad de atenderle para cualquier cuestión relacionada con su reclamación o con otros tratamientos de datos personales responsabilidad del Ayuntamiento sobre los que pueda considerarse afectado.

A este respecto indicarle que, tal y como establece el art. 38. 4 y 5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en IO que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

"Los interesados podrán ponerse en contacto con e! delegado de protección de datos por Io que respecta a todas las cuestiones relativas a/ tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento".

"El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros".

Por otra parte, queremos manifestarle el compromiso de este Ayuntamiento con el cumplimiento de la normativa de protección de datos personales. Se valorará su reclamación por el Delegado de Protección de Datos y si se considera necesario, una vez realizado el análisis, se adoptarán medidas adicionales a las ya existentes.>>

Así mismo se manifiesta el compromiso del Ayuntamiento en la adopción de las medidas que fueran necesarias una vez realizado el análisis en relación con la reclamación.

El Ayuntamiento de Cadreita tiene implementados unos protocolos de actuación con el fin de dar cumplimiento al principio de responsabilidad proactiva.

Se ha formado al personal en su aplicación y en materia de protección de datos personales.

En concreto, se ha elaborado un "protocolo de cesiones" en el que se establece el criterio de actuación que deberá tenerse en cuenta cuando se pretendan comunicar datos personales a terceros y especialmente se hace referencia a los supuestos habituales de cesiones de datos del padrón de habitantes, catastro, cesiones en materia de personal y publicación de actas y datos de interesados en boletines oficiales o tablones.

En relación con este protocolo se realizará una revisión de los riesgos asociados a los tratamientos a la vista de la reclamación y se adoptarán las medidas adecuadas para mitigar los riesgos:

 Actualización del protocolo, incorporando el criterio a seguir en caso de que se quiera dar publicidad a una resolución judicial que pueda tener especial interés para los vecinos.

 Dar a conocer el criterio de actuación entre los usuarios de datos personales (personal del Ayuntamiento y corporativos que puedan tener acceso para cumplimiento de sus funciones).

 Revisión de la información facilitada y firmada por los corporativos. Actualmente incluye unas referencias al deber de secreto y al uso de la información pero se elaborará a modo de recordatorio un documento de buenas prácticas en protección de datos para incidir en la importancia del cumplimiento de estas obligaciones y las funciones del delegado de protección de datos.

Recordatorio al personal con acceso a datos sobre las funciones del Delegado de Protección de Datos y su labor de asesoramiento. Se incluirán aquellos supuestos en que se considera que el DPD debe ser consultado.

TERCERO: Con fecha 12 de febrero de 2021, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD.

CUARTO: Con fecha 22 de abril de 2021 se formuló propuesta de resolución, proponiendo que la Directora de la Agencia Española de Protección de Datos se dirija a AYUNTAMIENTO DE CADREITA, con NIF P3106300A, por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD, un apercibimiento.

HECHOS PROBADOS

PRIMERO: El ayuntamiento ha buzoneado en todas las casas del vecindario sin anonimizar, el Auto nº 109/2020, en el que los reclamantes aparecen como parte.

SEGUNDO: El Ayuntamiento el 3 de septiembre de 2020, manifiesta su compromiso en la adopción de las medidas que fueran necesarias una vez realizado el análisis en relación con la reclamación, para proceder a una solución satisfactoria para todas las partes.

TERCERO: El Ayuntamiento el 2 de marzo de 2021 presenta alegaciones a este procedimiento sancionador indicando que entiende que la información facilitada es veraz y exacta, de relevancia pública, así como de gran trascendencia económica y social para una localidad pequeña y demandada por los vecinos, por lo que se consideró que existía un interés general para su conocimiento por todos ellos.

Por lo que considera que el tratamiento de datos tal y como se realizó está plenamente justificado en aras al interés público y por tanto no se ha vulnerado el principio de confidencialidad del art. 5.1.f del RGPD.

FUNDAMENTOS DE DERECHO 

 

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

El artículo 6.1 del RGPD, establece los supuestos que permiten considerar lícito el tratamiento de datos personales.

Por su parte, el artículo 5 del RGPD establece que “los datos personales serán:

“a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”

III

En el presente caso, se ha constatado que el reclamado sin eliminar ningún dato personal, procedió a buzonear en todas las casas, locales y resto de inmuebles del municipio objeto de esta reclamación, una copia íntegra del Auto nº 109/2020, en el que los reclamantes aparecen como parte, lo cual supone una vulneración del artículo 5.1 f) del RGPD, que regula la obligación de confidencialidad.

El citado ayuntamiento justifica no obstante, la difusión de la resolución judicial en la Ley Foral 5/2018, de 17 de mayo, de Transparencia, acceso a la información pública y buen gobierno de Navarra.

En base a ello, considera que la información facilitada, objeto del presente procedimiento sancionador, es de interés para la ciudadanía, subsumible en el artículo 29 de la citada Ley.

Ahora bien, esta Agencia debe hacer notar, que lo que tal precepto permite no es tanto la publicidad de la resolución judicial (obligatoria únicamente para la Comunidad Foral de Navarra según su Ley de transparencia autonómica) sino de información de interés para la ciudadanía.

Ello implica que para cumplir con la finalidad pretendida y permitida por la Ley no era precisa la distribución de la resolución misma, sino tan sólo información de su contenido y fundamentación; en todo caso, difundido el Auto, la anonimización de los datos personales deviene obligatoria conforme al principio de minimización de datos, si estos datos no son relevantes para informar a la ciudadanía sobre el sentido de una resolución judicial.

Esto es así ya que la normativa de transparencia tampoco es absoluta y tiene por tanto límites, destacando a tales efectos el artículo 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

IV

Asimismo, ha de señalarse que tras el requerimiento de esta Agencia de 6 de agosto de 2020, el citado ayuntamiento contestó manifestando que ya había adoptado medidas al respecto, en concreto, había elaborado un "protocolo de cesiones" en el que se establece el criterio de actuación que deberá tenerse en cuenta cuando se pretendan comunicar datos personales a terceros y especialmente se hace referencia a los supuestos habituales de cesiones de datos del padrón de habitantes, catastro, cesiones en materia de personal y publicación de actas y datos de interesados en boletines oficiales o tablones.

Además, el ayuntamiento manifestó que se había puesto en contacto con ambos reclamantes mediante carta de 3 de septiembre de 2020, a través de su Delegado de Protección de Datos, informándoles de lo siguiente:

“El Delegado de Protección de Datos de este Ayuntamiento se pone a su disposición para cualquier cuestión relacionada con la reclamación presentada, o tratamientos de datos personales responsabilidad del Ayuntamiento, sobre los que pueda considerarse afectado.”

Les manifiesta además que “se valorará su reclamación y si se considera necesario, una vez realizado el análisis se adoptarán medidas adicionales a las ya existentes.”

V

Así las cosas queda constatado que se difundió la resolución del auto a todos los vecinos, sin proceder a su previa anonimización.

Hay que señalar que los hechos se llevaron a cabo, según se ha manifestado por el reclamado, en aras del interés general, circunstancia que no exime del cumplimiento del artículo 5.1 f) del RGPD, en el que se establece que los datos personales deberán ser:

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Por lo tanto, en este supuesto se reconocen los hechos denunciados y no se alega causa que acorde a derecho, justifique que no se está incurriendo en una infracción del artículo 5.1 f) del RGPD, ya que el ayuntamiento siempre pudo dar publicidad del documento si lo consideraba de interés, pero debidamente anonimizado.

VI

El artículo 72.1 a) de la LOPDGDD señala que “en función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679”.

VII

El artículo 58.2 del RGPD dispone lo siguiente: “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;”

(...) “d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;”

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

El art. 83.5 del RGPD establece que se sancionarán las infracciones que afecten a:

“a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

Entre los poderes correctivos que contempla el artículo 58 del RGPD, en su apartado 2 d) se establece que cada autoridad de control podrá “ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…”. La imposición de esta medida es compatible con la sanción consistente en multa administrativa, según lo dispuesto en el art. 83.2 del RGPD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos

FALLO 

 

PRIMERO: DIRIGIR al AYUNTAMIENTO DE CADREITA, con NIF P3106300A, por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD, un apercibimiento.

SEGUNDO: REQUERIR a AYUNTAMIENTO DE CADREITA, con NIF P3106300A, al amparo de lo dispuesto en el artículo 58.2 d) del RGPD, para que en el plazo de un mes desde la notificación de esta resolución, acredite:

-La adopción de todas las medidas necesarias para que la entidad denunciada actúe de conformidad con los principios de «limitación de la finalidad» e «integridad y confidencialidad» del art. 5.1 b) y f) de RGPD respectivamente.

-La adopción de las medidas necesarias para actualizar su “Política de Privacidad” a la normativa vigente en materia de protección de datos personales, -Reglamento (UE) 2016/679 (RGPD)-, adecuando la información ofrecida a las exigencias contempladas en el artículo 13 del RGPD, debiendo facilitar a los usuarios, con carácter previo a la recogida de los datos personales de los mismos, toda la información exigida en el citado precepto, para lo que dicho ayuntamiento deberá tener en cuenta lo dispuesto en el artículo 6 del RGPD en relación con la licitud del tratamiento.

TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE CADREITA.

CUARTO : COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.