Sanción a ayuntamiento por carecer de delegado de protección de datos


AEPD 24/02/2021

En relación con la reclamación interpuesta contra un ayuntamiento por no disponer de delegado de protección de datos, la AEPD le impone una sanción de apercibimiento por infracción del art. 37 RGPD y le concede un plazo de 2 meses para comunicar su nombramiento.

Agencia Española de Protección de Datos, Resolución, 24-02-2021

ANTECEDENTES DE HECHO 

 

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 21 de mayo de 2020 interpuso reclamación ante la Agencia Española de Protección de Datos.

La reclamación se dirige contra el AYUNTAMIENTO DE BURGOS con NIF P0906100C (en adelante, el reclamado).

Los motivos en que basa la reclamación son que el citado ayuntamiento carece de un delegado de protección de datos.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), con número de referencia E/04057/2020, se dio traslado de dicha reclamación al reclamado, el 10 de junio de 2020, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos, sin haber sido recibida respuesta alguna al citado requerimiento.

TERCERO: Con fecha 17 de noviembre de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del artículo 37 del RGPD, tipificada en el artículo 83.4 del RGPD.

CUARTO: Notificado el citado acuerdo de inicio, el reclamado el 8 de enero de 2021, presentó escrito de alegaciones en el que, en síntesis, manifestaba que se procedió a licitar la prestación del servicio de asistencia técnica por parte de una empresa especializada en seguridad de la información y protección de datos de carácter personal, contrato que fue adjudicado el 18 de agosto de 2020 a la empresa Centro Regional de Servicios Avanzados, S.A. con una duración de 10 meses.

QUINTO: Con fecha 19 de enero de 2021, el instructor del procedimiento acordó la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/04057/2020.

SEXTO: Con fecha 11 de febrero de 2021 se formuló propuesta de resolución, proponiendo que por la Directora de la Agencia Española de Protección de Datos se sancione al AYUNTAMIENTO DE BURGOS, con NIF P0906100C, por una infracción del artículo 37 del RGPD, tipificada en el artículo 83.4 del RGPD, una sanción de apercibimiento.

De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:

HECHOS PROBADOS

PRIMERO: Se manifiesta que el AYUNTAMIENTO DE BURGOS carece de un delegado de protección de datos.

SEGUNDO: El citado ayuntamiento ha alegado que para la prestación del servicio de asistencia técnica en materia de protección de datos, celebró el 18 de agosto de 2020 un contrato con la empresa Centro Regional de Servicios Avanzados, S.A., por una duración de 10 meses, con la finalidad de adecuar sus tratamientos a la LOPDGDD y ENS.

TERCERO: En la actualidad el Ayuntamiento de Burgos no ha nombrado un Delegado de Protección de Datos y así lo ha notificado a la AEPD.

FUNDAMENTOS DE DERECHO 

 

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

Las Administraciones públicas actúan como responsables de tratamientos de datos de carácter personal y, en algunas ocasiones, ejercen funciones de encargados de tratamiento, por lo que les corresponde, siguiendo el principio de responsabilidad proactiva, atender las obligaciones que el RGPD detalla, entre las que se incluye, la obligación de nombrar a un delegado de protección de datos y comunicarlo a esta AEPD

La obligación viene impuesta por el artículo 37 del RGPD, que indica:

"1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;"

El articulo 37.3 y 4 del RGPD señala sobre la designación del DPD:

"Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados."

La LOPDGDD determina en su artículo 34.1 y 3: "Designación de un delegado de protección de datos"

"1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria."

La infracción se contempla como tal en el artículo 83.4.a del RGPD que señala:

"4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;"

El artículo 83.7 del RGPD indica:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."

El artículo 58.2 del RGPD indica:

"Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado".

En tal sentido, el artículo 77.1 c) y 2, 4 y 5 de la LOPGDD, indica:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las Comunidades autónomas y las entidades que integran la Administración Local."

"2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso."

"4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores."

"5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo."

III

El artículo 73 de la LOPDDG indica: Infracciones consideradas graves:

"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica."

IV

El citado ayuntamiento en respuesta al acuerdo de inicio de este procedimiento sancionador, ha acreditado que para subsanar los hechos causantes del presente procedimiento ha procedido a celebrar el 18 de agosto de 2020 un contrato con la empresa Centro Regional de Servicios Avanzados, S.A., para la prestación del servicio de asistencia técnica en materia de protección de datos, por una duración de 10 meses, con la finalidad de adecuar sus tratamientos a la LOPDGDD y ENS.

No obstante, el Ayuntamiento de Burgos aún no ha nombrado un Delegado de Protección de Datos y así lo ha notificado a la AEPD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos

FALLO 

 

PRIMERO: IMPONER al AYUNTAMIENTO DE BURGOS, con NIF P0906100C, por una infracción del artículo 37 del RGPD, tipificada en el artículo 83.4 del RGPD, una sanción de apercibimiento.

SEGUNDO: REQUERIR al AYUNTAMIENTO DE BURGOS, con NIF P0906100C que nombren un Delegado de Protección de Datos en un plazo de 2 meses, ya que esa obligación la tienen desde el 25 de mayo de 2018, de conformidad con el articulo 37.3 y 4 del RGPD fecha de entrada en vigor de la actual normativa de protección de datos.

TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE BURGOS.

CUARTO : COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.