Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 26/04/2022
Un particular interpuso reclamación contra un ayuntamiento por compartir en un grupo de WhatsApp el escrito que presentó para la retirada de tierra vertida al lado de la tumba de su padre.
La AEPD declara probado que un concejal del ayuntamiento difundió los datos personales del reclamante sin su consentimiento. No obstante, considera acreditado que se produjo para evitar un conflicto familiar entre el reclamante y sus primos.
Sin embargo, concluye que el ayuntamiento permitió el envío, conteniendo datos personales no necesarios para su fin, y sin proceder a su previa anonimización.
De este modo, le impone una sanción de apercibimiento por carecer de las adecuadas medidas organizativas y técnicas para haber evitado la comisión de la infracción regulada en el art.32 RGPD.
PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 26 de mayo de 2021 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE SOTOSERRANO con NIF P3731500I (en adelante, el AYUNTAMIENTO). Los motivos en que basa la reclamación son los siguientes: El ayuntamiento de Sotoserrano ha difundido sus datos personales, sin su consentimiento, al permitir que, un concejal del mismo reenviase por whatsapp un escrito que la parte reclamante había presentado ante dicho ayuntamiento, solicitando la retirada de tierra que se había depositado alrededor de la tumba de su padre.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación al AYUNTAMIENTO, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
Con fecha 28/07/2021 se presentó en esta Agencia escrito de respuesta indicando que, la parte reclamante, es prima hermana tanto de B.B.B. (persona que encargó la sepultura, a raíz de lo cual se depositó tierra en la sepultura del padre de la reclamante), como de C.C.C. (persona que realizó la sepultura), y que para evitar un conflicto familiar, el concejal del Ayuntamiento D.D.D. se puso en contacto con C.C.C. para comunicarle que se había presentado una queja contra él por su actuación en el cementerio municipal (actuación que además es ilegal).
Añade el AYUNTAMIENTO que: "considera que no se ha producido infracción alguna de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales por las siguientes razones:
1.- No se han difundido datos personales de la reclamante en ningún momento.
2.- El traslado del documento de queja de la reclamante contra la empresa que efectuó la sepultura al propietario de mencionada empresa no constituye infracción alguna de ningún precepto de la Ley de Protección de Datos, ya que los fines en los que se produjo el traslado entre interesados están legítimamente amparados por la función municipal. 3.- El traslado de documentos por parte del Ayuntamiento se ha producido única y exclusivamente entre partes con condición de interesados."
TERCERO: Con fecha 2 de agosto de 2021 la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada por la parte reclamante.
CUARTO: Con fecha 4 de octubre de 2021, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al AYUNTAMIENTO, por la presunta infracción del Artículo 5.1.f) del RGPD y Artículo 32 del RGPD, tipificada en el Artículo 83.5 y 83.4, respectivamente, del RGPD.
QUINTO: Con fecha 27/10/2021 el AYUNTAMIENTO presentó escrito de alegaciones al acuerdo de inicio, en el que, en síntesis, manifestaba que:
-No se ha producido vulneración de datos personales ya que la información ha sido únicamente conocida por partes interesadas en el procedimiento.
-El traslado del documento de queja de la parte reclamante, contra la empresa que efectuó la sepultura, al propietario de dicha empresa, no constituye infracción alguna de ningún precepto de la Ley de Protección de Datos, ya que los fines en los que se produjo el traslado entre interesados están legítimamente amparados por la función municipal.
-El traslado de documentos por parte del AYUNTAMIENTO se ha producido única y exclusivamente a la parte denunciada. La ausencia de responsabilidad y ausencia de culpabilidad del AYUNTAMIENTO en los hechos es evidente.
-El cumplimiento de la legalidad vigente obliga al AYUNTAMIENTO a dar traslado de las alegaciones efectuadas por la denunciante al denunciado, sin poder ser responsable el Ayuntamiento del tratamiento ilícito o no que el denunciado efectúa de la denuncia presentada contra él. El AYUNTAMIENTO está obligado por Ley a dar traslado a la parte denunciada de la denuncia formulada contra ella. Así se hizo, conforme a medios electrónicos, sin poder nunca ser responsable el AYUNTAMIENTO de lo que haga el denunciado con la denuncia de la que se le da traslado.
-En ningún caso el AYUNTAMIENTO ha posibilitado el conocimiento de datos personales a personas no autorizadas, puesto que únicamente se ha dado traslado al denunciado de la denuncia formulada contra él, sin poder ser responsable el AYUNTAMIENTO de lo que haga el denunciado al recibir la denuncia que se formula contra él.
SEXTO: Con fecha 12 de enero de 2022 se formuló propuesta de resolución, proponiendo que, por la infracción de los artículos 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD y 32 del RGPD, tipificada en el Artículo 83.4 del RGPD, se sancione al AYUNTAMIENTO DE SOTOSERRANO con un APERCIBIMIENTO para cada una de ellas.
De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: Consta acreditado que el AYUNTAMIENTO ha difundido datos personales de la parte reclamante sin legitimación, dado que un concejal ha enviado por whatsapp un escrito presentado por la parte reclamante ante dicho AYUNTAMIENTO, sin su consentimiento.
SEGUNDO: Consta acreditado, según manifiesta el AYUNTAMIENTO, que la difusión de los datos personales que constan en el escrito se debió a un intento de evitar un conflicto familiar entre la parte reclamante y sus primos.
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Se imputa al AYUNTAMIENTO la comisión de una infracción por vulneración del Artículo 5.1.f) del RGPD y Artículo 32 del RGPD. El artículo 5.1.f) RGPD señala que:
"1. Los datos personales serán:
(...)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)."
La citada infracción del artículo 5.1.f) del RGPD podría suponer la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (...)"
A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que: "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 72 "Infracciones consideradas muy graves" de la LOPDGDD indica:
"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679. (...)"
A lo largo de la instrucción del presente procedimiento ha quedado demostrado que se ha producido una vulneración de la confidencialidad, dado que el AYUNTAMIENTO ha difundido datos personales de la parte reclamante, tales como su DNI y su domicilio, al dar traslado de su queja a la persona responsable, C.C.C., datos que no son imprescindibles para la tramitación de dicha queja, puesto que la denuncia puede tramitarse sin que el denunciado conozca los datos del denunciante.
Se considera, además, que el traslado de la reclamación no se ha hecho por el cauce adecuado, ya que un whatsapp no es el medio de tramitar un expediente administrativo, según establece el artículo 70 de la LPACAP. Asimismo, no se trata de una denuncia presentada por la parte reclamante, sino de una queja.
Queda, por tanto, acreditada la infracción al artículo 5.1.f) del RGPD.
III
El artículo 83 apartado 7 del RGPD, dispone lo siguiente:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58 apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
(...)
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(...)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
(...)
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. (...)"
IV
El Artículo 32 "Seguridad del tratamiento" del RGPD establece:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros".
La infracción del artículo 32 del RGPD podría suponer la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo delvolumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,11, 25 a 39, 42 y 43; (...)"
A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 73 "Infracciones consideradas graves" de la LOPDGDD indica:
"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(...)
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.
(...)
Ha quedado demostrado que el AYUNTAMIENTO permitió el envío, a través de whatsapp, de un escrito presentado por la parte reclamante, conteniendo datos personales no necesarios para su fin, y sin proceder a su previa anonimización, por lo que queda acreditado que carecía de las adecuadas medidas organizativas y técnicas para haberlo evitado, y por tanto, se ha incurrido en infracción al artículo 32 del RGPD.
V
El artículo 83 apartado 7 del RGPD, dispone lo siguiente: "Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58 apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(...)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
(...)
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. (...)"
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER al AYUNTAMIENTO DE SOTOSERRANO, con NIF P3731500I, por una infracción del Artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD, una sanción de apercibimiento. IMPONER al AYUNTAMIENTO DE SOTOSERRANO, con NIF P3731500I, por una infracción del Artículo 32 del RGPD, tipificada en el Artículo 83.4 del RGPD, una sanción de apercibimiento.
SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE SOTOSERRANO.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contenciosoadministrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos