Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 04/05/2022
Se interpone por un juzgado reclamación contra un ayuntamiento por haber depositado en varios contenedores de papel de la localidad documentación municipal en la que constan datos personales de vecinos.
Tras la instrucción del procedimiento, la AEPD señala como acreditada la falta de medidas técnicas y organizativas que para la fase de tratamiento de la destrucción de datos en papel tuvo el ayuntamiento reclamado. Y pese a que el ayuntamiento presentó facturas de una empresa por destrucción de documentos, fechadas tras el suceso de los hechos, ello no acredita tampoco que se hubieran instaurado unas medidas técnicas y organizativas completas acordes con la normativa vigente que capaciten las garantías de salvaguarda de seguridad de los datos, específicamente en el ámbito de la seguridad de destrucción de documentos. Asimismo, en el proceso de contratación iniciado no se constata que se contengan todos los requisitos que, para el tratamiento de datos por encargo de tratamiento, supone hacerse cargo de la destrucción de documentos, y el acceso a dichos datos, de conformidad con lo previsto en el art. 28 RGPD.
Por todo ello, la AEPD impone una sanción de apercibimiento al ayuntamiento y le insta a que acredite haber completado las cláusulas y referencias en el contrato de encargo de tratamiento de destrucción de documentos, conforme a lo señalado en la resolución.
PRIMERO: JUZGADO DE PRIMERA INSTANCIA E INSTRUCCIÓN NÚMERO 1 DE VILLAFRANCA DE LOS BARROS (en adelante, el reclamante) con fecha 3/07/2020 presenta escrito a la Agencia Española de Protección de Datos por si estima se ha vulnerado la normativa. La reclamación se dirige contra AYUNTAMIENTO DE VILLAFRANCA DE LOS BARROS con NIF P0614900I (en adelante, el reclamado). Los motivos en que basa la reclamación son que el Juzgado inició diligencias previas, el ***FECHA.1 en procedimiento abreviado XXX/XXXX, integrado por testimonio de actuaciones de muestras extraídas por agentes de la Guardia Civil sobre documentación hallada en vía pública en bolsas y en contenedores de papel con signos de procedencia del reclamado.
Los hechos sucedieron el 1/06/2019, al recibir la Guardia Civil un aviso de un vecino por hallar en un contenedor de la calle Serena del municipio, documentación de la corporación. En el relato de los hechos se indica que un ciudadano en la citada calle había observado de manera directa que la mañana del 31/05/2019, un camión del Ayuntamiento se acercó al contenedor de papel de la citada calle y dos operarios han llenado el mismo con papeles. "Se examina el contenido del citado contenedor, observado una gran cantidad de documentación perteneciente al Ayuntamiento de Villafranca de los Barros de fechas entre años 2013 a 2019, en la que se podían apreciar informes de vida laboral de vecinos de la localidad, sus números de teléfono e informes de contratación de personal, algunos pertenecientes al año 2019 etcétera". Se precinta el contenedor y se traslada a dependencias propias.
Además, cuando la Guardia Civil se retira, la Policía Local encontró en otra dirección, tres contenedores más con documentación y más tarde se localiza otro contenedor más, si bien en esta ocasión el papel está triturado y en bosas de plástico transparentes.
En acta de 2/06 de la Guardia Civil, se toma declaración al encargado de infraestructuras del Ayuntamiento, que manifestó que los operarios que vertieron en los contenedores los documentos y él, no eran conscientes de lo que estaban tirando, simplemente se deshicieron de ellos como lo habían hecho otras veces. El encargado manifiesto que él a su vez obedecía órdenes de los Concejales en funciones del Ayuntamiento de Urbanismo y de Cultura.
Se acompaña un reportaje fotográfico con imágenes de los documentos y de los contenedores.
La Guardia Civil custodia los 4 contenedores de papel, y 23 bolsas de basura con documentación, marcando los cuatro contenedores con las primeras letras del alfabeto, el resto desde la E a la Z son bolsas de basura de color negro de gran tamaño.Con fecha 4/10/2019, por la Guardia Civil, se realiza un muestreo del contenido del contenedor A, encontrando:
-solicitudes para el plan especial de empleo municipal para unidades familiares sin ingresos del año 2018, con datos personales de los solicitantes- aporta foto a 3 documentos anexos a las solicitudes anteriores, adjuntan documentos de carácter personal como informes de vida laboral, fotocopia del DNI .
-listado provisional del expediente de seleccionados para plazas de personal directivo y docente de talleres de inserción de la convocatoria 2005 foto A 5.
En el contenedor B:
-Solicitudes de comisión especial de empleo por particulares con registro de entrada del año 2017 -18 con fotocopia del DNI.
En el contenedor C:
Solicitudes varias con entrada en registro de junio 2018, foto C2 Contenedor D:
Solicitud de comisión especial de empleo con registro de entrada del año 2017 con fotocopias del DNI, foto D2 y D3.
En bolsa E:
Documentación con fichas de recogidas de datos manuscritas del proyecto "rompiendo moldes"
Todavía se relatan los contenidos del resto de bolsas, la mayoría con datos de carácter personal , especialmente referidos a solicitudes de diversos tipos , currículo, resolución de procedimiento sancionador por infracción urbanística.
Junto a la reclamación se presenta en la AEPD una caja precintada por Guardia Civil que abierta, contiene bolsas de papel precintadas. Todas indican la fecha de precintado, las que reflejan contenido hallado en bolsas desde la letra E a la W, el 30/08/2019 y las que contienen las muestras de lo hallado en los contenedores: de la A a la D, en fecha 2/09/2019.
Se inicia la apertura de algunas, y a simple vista se aprecia que no todas contienen en su totalidad documentos con datos personales, algunos son copias de normativa de boletines oficiales o manuales técnicos de sustancias usadas en jardinería, contratos del ayuntamiento, informes del ayuntamiento etc.
Se indica un somero contenido sin perjuicio de su eventual ampliación en pruebas.
-bolsa letra W
incoaciones Propuestas de resoluciones y resoluciones de procedimientos sancionadores por infracciones urbanísticas de 2011 a 2014, conteniendo los datos de los sancionados, aproximadamente 40 expedientes.
Solicitudes con datos del solicitante, DNI, en materia urbanística, aproximadamente 3
-Bolsa Q:
Currículo con foto, de 2/05/2013.
Copia de certificados de 2017, unos 12, que contienen los datos de suministradores de productos o servicios tales como químicos, repuestos con datos de "terceros" conteniéndose números completos de cuenta bancarias, sus nombres y apellidos y contactos telefónicos.
Acompaña también las referencias aparecidas en la prensa el 4/06/2019 en el periódico de Extremadura.
SEGUNDO: De acuerdo con el artículo 64.2 y 65.5 de la la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), con fecha 6/08/2020, la Directora de la AEPD acordó admitir a tramite la reclamación.
TERCERO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por el reclamante, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD.
Con fecha 21/10/2020, requiere al reclamado información relacionado con los hechos.
Con fecha 4/11/2020, el AYUNTAMIENTO DE VILLAFRANCA DE LOS BARROS remite a esta Agencia la siguiente información y manifestaciones:
1) "No conoce lo sucedido, pues tras elecciones de 26/05/2019 se formó una nueva corporación local, tomando posesión el nuevo Alcalde el 16/06/2019", procediendo a iniciar la contratación de servicios de retirada controlada de documentación. Manifiesta que solamente puede hacerse eco de las declaraciones del entonces primer teniente alcalde, citadas por el diario El Mundo, el ***FECHA.1 quien explicaba que los documentos procedían de la limpieza de despachos en una práctica habitual abierta y sin ningún tipo de intención que se realiza al término de cada legislatura ante el presumible cambio de Gobierno que se va a producir el próximo 15 de junio. "Todo se hizo a plena luz del día a las 12:00 de la mañana de un viernes por tres operarios municipales y ha precisado que se eligieron varios contenedores dispersos geográficamente por diferentes puntos de la localidad debido al importante volumen de documentos por lo que lo depositaron allí donde encontraron contenedores de papel y de cartón medio vacíos". En el enlace de la noticia, figura esa información, con el titular el "Ayuntamiento del PSOE que tiró documentación sensible a la basura lo califica de práctica habitual al final de una legislatura" con una foto del alcalde anterior, y en letras mas pequeñas "hallan en la basura documentación sensible de un Ayuntamiento del PSOE a punto de perderlo tras 36 años de Gobierno".
- "Presume que la documentación que ha visto la luz en los contenedores", es la puesta a disposición de los Concejales que integrando los órganos colegiados de Gobierno, les es entregada, incluida en el orden del día de las sesiones.
- Acordó la contratación de inmediato de un servicio de prestación de retirada controlada de papel y documentación desechada de todos los despachos y servicios municipales con la entidad "Centro especial de empleo Aprosuba", mientras se iniciaba el expediente de contratación administrativo.
- Menciona que disponen de una ordenanza reguladora de la administración electrónica del Ayuntamiento desde 30/01/2018 en la que entre otros aspectos se regula el procedimiento de acceso de miembros de la corporación a la información municipal, suprimiendo la práctica de entregar copias en papel, disponiendo de información detallada para su solicitud y entrega.
Aporta:
a)-Facturas por destrucción de documentos de 19 y 31/07/2019, y 31/10/2019. En dos certificados de destrucción figura: "total destrucción de la documentación, según la norma DIN 66399 con el nivel 3 de seguridad de acuerdo con el RGPD. Asimismo garantiza que no ha examinado, entregado utilizado ni reproducido dichos soportes de datos, siendo la documentación recogida el 15/10/2019" y la fecha en que fue recogida.
b)- Decreto firmado el 2/12/2019 de aprobación expediente contrato de servicio, destrucción segura de documentos del Ayuntamiento, por cuatro años, conforme al contenido establecido en el pliego de prescripciones técnicas particulares, el de cláusulas administrativas particulares y una memoria técnica y la adjudicación ya producida.
c)- Se contempla en el pliego de cláusulas administrativas particulares: "30.4 Protección de Datos de carácter personal", la referencia a la normativa que ya no se halla en vigor, LOPD de 13/12/1999, indicándose:
- Obligación de guardar secreto profesional de la empresa adjudicataria y su personal respecto de los datos de carácter personal de los que haya podido tener conocimiento por razón de la prestación del contrato.
- El adjudicatario deberá formar e informar a su personal de las obligaciones que en Protección de Datos estén obligados a cumplir en el desarrollo de sus tareas, en especial las derivadas del deber de secreto.
- El adjudicatario y su personal durante la realización de los servicios que se presten como consecuencia del cumplimiento del contrato estarán sujetos al cumplimiento de los documentos de seguridad de las dependencias municipales en las que desarrolla el trabajo.
- Si el contrato adjudicado implica el tratamiento de datos de carácter personal se deberá respetar en su integridad la LOPD y su normativa de desarrollo.
d) En la memoria técnica se contienen aspectos como los albaranes de entrega y recogida, los certificados acreditativos de la destrucción.
e) Copia de resolución de adjudicación del contrato y diligencia de aceptación de ejecución del mismo, firmado por el contratista el 11/02/2020.
f) En cuanto a las medidas implantadas con anterioridad al incidente, aporta contratos de encargo de servicio de recogida, destrucción y reciclaje de documentos en formato papel, de duración anual, de 2007 y 2008.
-En respuesta a la formación recibida por sus empleados en materia de protección de datos aporta correo electrónico de fecha 26/02/2020, remitido por ***PUESTO.1@villafrancadelosbarros.es <mailto:***PUESTO.1@villafrancadelosbarros.es> y enviado a ***PUESTO.2@dip <mailto:***PUESTO.2@dip-badajoz.es>badajoz.es donde consta "Por la presente solicito mi inscripción en la jornada: " Proyecto Apoyo al cumplimiento normativo en Seguridad y Protección de Datos".
-Aporta copia de documento firmado a 12/02/2020, donde se propone la adhesión del Ayuntamiento de Villafranca de los Barros al acuerdo de colaboración con la Excma. Diputación de Badajoz para el servicio de Delegado de Protección de Datos.
CUARTO: Con fecha 28/06/2021, la Directora de la AEPD acordó iniciar procedimiento sancionador de apercibimiento al AYUNTAMIENTO DE VILLAFRANCA DE LOS BARROS, por la presunta infracción del artículo 5.1.f) del RGPD, de conformidad con el artículo 83.5. b) del RGPD.
No se recibieron alegaciones.
QUINTO: Con fecha 11/01/2021 se inicia un periodo de pruebas, acordando:
Dar por reproducidos a efectos probatorios la reclamación, su documentación, los documentos obtenidos y generados durante la fase de admisión a trámite de la reclamación.
Con el fin de revisar algunas medidas de seguridad de la información y los datos, conectadas con la infracción, se solicitó:
1) Documento en el que se regule o se organicen los documentos que forman parte del archivo y cuales y cuando procede entrega de copia a responsables políticos del Ayuntamiento (referidos a los que contengan datos personales). Obligaciones y deberes en la entrega y manejo de la documentación.
2) Si se han dado instrucciones a este personal y modo de cumplimiento, sobre el uso y tratamiento de datos personales.
3) Tipos de documentos en papel que gestionan o que pueden ser imprimidos y medidas para mitigar o reducir los riesgos de que salgan fuera del circulo del responsable.
4) Si los responsables políticos acceden a aplicaciones informáticas, que permisos tienen y si se registran los accesos y el contenido al que acceden.
5) Tipos de documentos en papel que gestionan y motivos por los que no han sido sustituidos por digital.
6) Si los responsables políticos acceden a aplicaciones informáticas, que permisos tienen y si se registran los accesos y el contenido al que acceden.
No se contestó a ninguna cuestión de las planteadas.
SEXTO: Con fecha 14/02/2022, se emite propuesta de resolución con el literal:
"Que por la Directora de la Agencia Española de Protección de Datos se sancione con apercibimiento a AYUNTAMIENTO DE VILLAFRANCA DE LOS BARROS, con NIF P0614900I, por una infracción del artículo 32 del RGPD, de conformidad con el artículo 83.4 a) del RGPD, y a efectos de prescripción, del artículo 73. f) de la LOPDGDD.
Que eventualmente se complete el contrato de tratamiento llevado a cabo por el adjudicatario del servicio, encargado del tratamiento, para completar las referencias señaladas en el artículo 28 del RGPD."
No se recibieron alegaciones.
SÉPTIMO: De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: La Guardia Civil y la Policía Local de Villafranca de los Barros hallaron la noche del 1/06/2019 documentación perteneciente al reclamado, repartida en cuatro contenedores de papel situados en distintos puntos de la vía publica de Villafranca de los Barros.
Según figura en las diligencias policiales, acudieron, avisados por persona que declaró que habían visto en la mañana del 31/05/2019, camiones del Ayuntamiento descargar documentos en contenedores de papel. El Juzgado de primera instancia e instrucción 1 de la localidad instruyó diligencias previas por el asunto el ***FECHA.1, remitiendo escrito a la AEPD 3/07/2020, dando cuenta de los hechos.
SEGUNDO: Acompaña el Juzgado un reportaje fotográfico con imágenes de los documentos y de los 4 contenedores de papel y 23 bolsas de basura grandes. Algunas de las bolsas contenían el papel picado, muestra de haberse destruido previamente en una máquina.
Entre lo encontrado, según la Guardia Civil, se hallan documentos con datos de carácter personal como: solicitudes para el plan especial de empleo municipal para unidades familiares sin ingresos del año 2018, fotocopias de DNI, informes de vida laboral, expedientes de selección de personal, currículo, resolución de procedimiento sancionador por infracción urbanística, fichas cumplimentadas a mano sobre proyectos de formación para el plan laboral "rompiendo moldes"
A la AEPD, con la reclamación, se remitió una caja con muestra de la documentación hallada, pudiendo verificar que aunque no todo su contenido contiene datos de carácter personal, se comprueba, de manera somera, que existen:
- Propuestas de resoluciones y resoluciones de procedimientos sancionadores por infracciones urbanísticas de 2011 a 2014, conteniendo los datos de los sancionados, aproximadamente 40 expedientes.
- Solicitudes con datos del solicitante, DNI, en materia urbanística.
- Currículos con foto de 2/05/2013.
- Copia de certificados de 2017, unos 12, que contienen los datos de suministradores de productos o servicios tales como químicos, repuestos con datos de "terceros" conteniéndose números completos de cuenta bancarias, sus nombres y apellidos y contactos telefónicos
TERCERO: Efectuado traslado de la reclamación al reclamado, Ayuntamiento de Villafranca de los Barros, señaló el 4/11/2020, que tras las elecciones de 26/05/2019, se formó una nueva Corporación Local, y el Alcalde tomó posesión el 16/06/2019, y declaró que posiblemente se trate, entre otra documentación hallada, de la que manejan los Concejales en sus funciones de Gobierno.
CUARTO: A fecha en que suceden los hechos, no se constata si existía contrato de prestación de servicios de destrucción de documentos por parte del reclamado, y caso de existir que reuniera los elementos que para el manejo de documentos con datos se exige en su tratamiento de datos, que se establece en el artículo 28 del RGPD.
Si se constata que tras producirse el hallazgo de la documentación, que hay copias de facturas de destrucción de documentos de varias fechas, entre ellas, 19 y 31/07, y 31/10 de 2019, en las que la misma empresa indica: "recogida y destrucción de los kgs. de papel, "destrucción puntual en nave" y "fechas de recogida", derivado de la contratación llevada a cabo por el Alcalde elegido en las elecciones de 26/05/2019, que tomó posesión el 16/06/2019, pero sin aportarse contrato con las previsiones del artículo 28 del RGPD.
QUINTO: Se acredita que el 2/12/2019, se firma e inicia por el reclamado la aprobación de expediente de contrato de servicio de destrucción de documentos por cuatro años y aporta la adjudicación del mismo del 30/01/2020, firmándose el 2/02/2020 diligencia de aceptación de ejecución. En el clausulado del mismo, no se constata que se contengan los requisitos que para el tratamiento de datos por encargo de tratamiento, supone hacerse cargo de la destrucción de documentos, y el acceso a dichos datos, de conformidad con lo previsto en el artículo 28 del RGPD.
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
El artículo 32 del RGPD establece la regla general del establecimiento de unas medidas de seguridad en el marco de varios factores. Así, señala:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos."
A efectos del RGPD, es responsable del tratamiento según el articulo 4.7:
"la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros"
El artículo 4.2 del RGPD, además, define:
"tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;"
En este caso, varios contenedores para papel situados en la vía pública, con documentos conteniendo datos de carácter personal del reclamado fueron hallados y recuperados por la Guardia Civil y Policía Local.
Definir y establecer medidas de control y seguridad es una tarea fundamental que se debe realizar de acuerdo a las particularidades de las actividades de tratamiento y en función de los riesgos que conlleva el mismo. Se acredita en este caso, la falta de medidas técnicas y organizativas que para la fase de tratamiento de la destrucción de datos en papel ha tenido el reclamado, que en un caso como el analizado de destrucción de documentos en soporte papel con datos, debe ajustarse a unos mínimos que garanticen la efectividad de llevarse a cabo la misma, tratándose de un gran volumen, con datos que fueron extraídos de las instalaciones del reclamado y volcados en contenedores de papel. Igual que los recuperó la Guardia Civil y la Policía Local, podrían haber sido obtenidos por terceros, aunque no se acredita que ello aconteciera.
La mera presentación de facturas por destrucción de documentos de la empresa Aprosaba, fechadas tras el suceso de los hechos, no acredita tampoco que se hubieran instaurado unas medidas técnicas y organizativas completas acorde con la normativa vigente que capaciten las garantías de salvaguarda de seguridad de los datos, específicamente en el ámbito de la seguridad de destrucción de documentos. Si suponen el inicio de un proceso, que avanza cuando se adjudica el contrato y se firma el 2/02/2020.
Respecto del mismo, no se constata que se contengan todos los requisitos que para el tratamiento de datos por encargo de tratamiento, supone hacerse cargo de la destrucción de documentos, y el acceso a dichos datos, de conformidad con lo previsto en el artículo 28 del RGPD.
El RGPD, además, exige no solo diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso, abarcando la evaluación del impacto de un incidente sobre los datos de carácter personal, independientemente de si los tratamientos se realizan de forma automatizada como si se realizan de forma manual, o si los incidentes son accidentales, tanto humanos como asociados a eventos naturales.
La gestión de incidentes es un proceso que, con mayor o menor grado de madurez, ya debe formar parte de la cultura de responsables y encargados de tratamientos. Esta gestión de incidentes debe actualizarse, si no lo está ya, e incorporar los procedimientos para responder a las obligaciones que se desprenden del RGPD.
Los efectos de esta implantación de medidas y su efectividad o no, así como su seguimiento, tienen repercusión como muestra la LOPDGDD, en su artículo 73, que diferencia a efectos de tipificación, entre la "falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento" (art. 73 apartados d, e y f) y "la falta de la debida diligencia en la utilización de las medidas técnicas y organizativas implantadas" (art. 73. g).Frente al riesgo de no ser destruidos adecuada y convenientemente los documentos en papel que contienen datos, se observa la falta de estas medidas. También han de ser objeto de seguimiento en su cumplimiento y efectividad, así como cuando varían las circunstancias del tratamiento, atendiendo y contemplando en su caso, cualquier incidente que pueda acontecer por los datos, el formato o soporte de su tratamiento.
Una guía correcta para el aseguramiento de las medidas relativas a la destrucción es contratar con una empresa del ramo que tenga y aplique el código de buenas practicas sobre destrucción segura de material confidencial.
En el presente supuesto, se acredita que se cometió la infracción del artículo 32 del RGPD señalada.
III
El artículo 83.4 a) del RGPD, indica:" Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
En cuanto a la prescripción, el artículo 73 de la LOPGDD, indica:
"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
...
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679."
IV
El artículo 83.7 del RGPD indica:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro"
El ordenamiento jurídico español ha optado por no sancionar con multa a las entidades públicas, tal como se indica en el artículo 77.1. c) y 2. 4. 5. y 6. de la LOPDDGG:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las Comunidades Autónomas y las entidades que integran la Administración Local.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción."
V
Sobre el contrato del reclamado con el adjudicatario del servicio de destrucción de documentos, destinada como medida para el cumplimiento del artículo 32 del RGPD, existen obligaciones previstas en el artículo 28 del RGPD, al indicarse:
"1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
e) asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
[...]"
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento."
El artículo 58 .2.d) del RGPD, añade como poder correctivo de la autoridad de control compatible con el apercibimiento, "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado".
Se observó que en el contrato adjudicado se habrían de completar elementos que se desprenden de la obligación prevista en el artículo 28 del RGPD, además de la literalidad de la correcta normativa vigente, aspectos, sin pretensión de ser exhaustivos, como:
- La especificación de la subcontratación por el encargado el tratamiento, artículo 28.2 RGPD.
- Las estipulaciones que expresamente contempla el artículo 28.3 RGPD.
Por lo tanto, de acuerdo con la legislación aplicable, la Directora de la Agencia Española de Protección de Datos
PRIMERO: SANCIONAR con apercibimiento a AYUNTAMIENTO DE VILLAFRANCA DE LOS BARROS, con NIF P0614900I, por una infracción del artículo 32 del RGPD, de conformidad con el artículo 83.4 a) del RGPD, y a efectos de prescripción, del artículo 73. f) de la LOPDGDD.
SEGUNDO: ORDENAR a AYUNTAMIENTO DE VILLAFRANCA DE LOS BARROS de acuerdo con lo dispuesto en el artículo 58.2 d) del RGPD, para que en el plazo de dos meses, acredite, notificándolo a esta Agencia, haber completado las clausulas y referencias en el contrato de encargo de tratamiento de destrucción de documentos, en consonancia con lo señalado en la resolución y en el último fundamento de derecho. En el texto de la resolución se establecen cuáles han sido las infracciones cometidas y los hechos que han dado lugar a la vulneración de la normativa de protección de datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio de que el tipo de procedimientos, mecanismos o instrumentos concretos para implementarlas corresponda a la parte sancionada, pues es el responsable del tratamiento quien conoce plenamente su organización y ha de decidir, en base a la responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la LOPDGDD.
TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE VILLAFRANCA DE LOS BARROS.
CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
QUINTO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [<https://sedeagpd.gob.es/sede-electronica-web/%5D,>web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.