AEPD 09/06/2022
Un vecino del municipio envió por correo electrónico un escrito al ayuntamiento en el que hacia constar unos peligros en el muro de cerramiento de su propiedad. Ante esto, la empleada municipal renvió el escrito, donde figuraban los datos personales del vecino, a un grupo de WhatsApp.
El vecino, al constatar que sus datos personales habían sido enviados por WhatsApp sin su consentimiento, solicitó al ayuntamiento que adoptara las medidas oportunas, sin obtener respuesta alguna.
Por este motivo, la AEPD impone una sanción de apercibimiento al ayuntamiento por infracción de los arts. 5.1.f) y 32 RGPD, tipificadas en los artículos 83.5 y 83.4 RGPD respectivamente.
PRIMERO: A.A.A. (en adelante, la parte RECLAMANTE) con fecha 15 de febrero de 2021 interpuso reclamación ante la AEPD. La reclamación se dirige contra el AYUNTAMIENTO DE ABERTURA con NIF P1000200D (en adelante, AYUNTAMIENTO). Los motivos en que basa la reclamación son los siguientes: La parte reclamante manifiesta que la ***PUESTO.1 de ese AYUNTAMIENTO ha revelado sus datos personales (nombre, apellidos y dirección de email) a terceros a través de WhatsApp. Los hechos tuvieron lugar el 20 de enero de 2021. Junto a la reclamación se aporta una imagen de una pantalla de WhatsApp en la que se aprecia el correo remitido al AYUNTAMIENTO el 20 de enero de 2021 por la RECLAMANTE denunciando un problema ocurrido en su propiedad.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación al AYUNTAMIENTO, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de lasacciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. El traslado se remitió con fecha 16 de marzo a través del Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada, siendo notificado ese mismo día. En la actualidad, no se ha recibido respuesta a este escrito.
TERCERO: Con fecha 15 de mayo de 2021, y de conformidad con lo dispuesto en el art. 65.5 de la LOPDGDD se produjo la admisión a trámite de la reclamación interpuesta por la parte RECLAMANTE.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos:
La parte RECLAMANTE aporta junto al escrito de reclamación una imagen de una pantalla de WhatsApp de la que se desprende que ha sido compartido a través de dicha aplicación la imagen de un correo electrónico enviado por la reclamante al AYUNTAMIENTO (ayuntamientoabertura@hotmail.com) solicitando la intermediación del Ayuntamiento en un asunto.
En dicha imagen se aprecia, claramente, el nombre, apellidos y dirección de correo electrónico de la parte RECLAMANTE. Se aprecia además el nombre del contacto de WhatsApp (B.B.B.) que coincide con el nombre de la ***PUESTO.1 del municipio.
Con fecha 15 de junio de 2021 se solicita por la inspección de datos, mediante escrito dirigido al AYUNTAMIENTO, que en el plazo de 10 días aporte determinada información y documentación en relación con los hechos denunciados.
Dicho escrito fue retirado por el destinatario el día 15 de junio de 2021, según certifica el servicio de Soporte del Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada, sin que se haya recibido respuesta al mismo, lo que dio lugar a la apertura del procedimiento sancionador PS/00461/2021, en el marco del cual el representante del Ayuntamiento aporta un escrito de alegaciones, de fecha 6 de octubre de 2021, en el que realiza las siguientes manifestaciones en relación con los hechos aquí denunciados:
- En relación con el correo electrónico enviado por la denunciante al Ayuntamiento, manifiestan que la ***PUESTO.1 actúo con toda la buena fe al ser advertida por la denunciante del peligro que podrían correr algunos niños de la localidad al estar subidos a la pared lindante con su propiedad, cuyo muro no estaba cerrado por completo, y ante la presencia de un perro mastín.
- La misma denunciante remitió un correo electrónico al Ayuntamiento, solicitando (...) que actúe, ante lo cual la ***PUESTO.1, utilizando un móvil a nombre del Ayuntamiento, advirtió por WhatsApp a las madres de los niños, sin intento alguno de transgredir el derecho a la intimidad o el tratamiento de datos de terceros.
QUINTO: Con fecha 3 de enero de 2022, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, por presunta infracción de los artículos 5.1.f) y 32 del RGPD, tipificadas en los artículos 83.5 y 83.4 del RGPD.
SEXTO: Con fecha 11 de marzo de 2022 se formuló propuesta de resolución, proponiendo que, por la infracción de los artículos 5.1.f) y 32 del RGPD, tipificadas en los artículos 83.5 y 83.4 del RGPD, se sancione al AYUNTAMIENTO DE ABERTURA con un APERCIBIMIENTO para cada una de ellas.
SÉPTIMO: La propuesta de resolución fue puesta a disposición del AYUNTAMIENTO DE ABERTURA, a través del Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada, el día 11 de marzo de 2022, produciéndose el rechazo automático, el 22 de marzo de ese mismo año, tras haber transcurrido diez días naturales desde su puesta a disposición para su acceso según el párrafo 2, artículo 43, de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: En fecha 20 de enero de 2021 se compartió a través de la aplicación de WhatsApp la imagen de un correo electrónico enviado por la parte RECLAMANTE al AYUNTAMIENTO (ayuntamientoabertura@hotmail.com) solicitando la intermediación del mismo en un asunto que afectaba a su derecho a la propiedad privada.
SEGUNDO: La entidad reclamada reconoce, en relación con el correo electrónico enviado a la parte RECLAMENTE, que el AYUNTAMIENTO lo habría enviado, si bien afirma que actuó con buena fe, al advertirle del peligro que podrían correr los niños de la localidad al estar subidos a la pared lindante de la propiedad de la parte RECLAMANTE, cuyo muro no se encontraba cerrado por completo, y ante la presencia de un perro mastín.
Fue la parte RECLAMANTE quién remitió el correo electrónico al AYUNTAMIENTO, solicitando (...) que actúe, ante lo cual la ***PUESTO.1, utilizando un móvil a nombre del AYUNTAMIENTO, advirtió por WhatsApp a las madres de los niños, sin intento alguno de transgredir el derecho a la intimidad o el tratamiento de datos de terceros.
I
Competencia
En virtud de los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27/04/2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, RGPD); reconoce a cada autoridad de control, y según lo establecido en el art. 47 de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en adelante,LOPDGDD), la directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.
II
Artículo 5.1.f) del RGPD
De conformidad con las evidencias de las que se dispone en el presente momento del procedimiento sancionador, se considera que los hechos probados son constitutivos de infracción. Se imputa a la parte reclamada la comisión de una infracción por vulneración del
Artículo 5.1.f) del RGPD, que señala que:
"1. Los datos personales serán:
"f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su transcripción".
La infracción se tipifica en el Artículo 83.5.a) del RGPD, que considera como tal: "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9".
En el presente caso, consta que los datos personales de la parte RECLAMANTE, obrantes en la base de datos del AYUNTAMIENTO, fueron indebidamente difundidos al revelarse datos personales (nombre, apellidos y dirección de email) a terceros a través de WhatsApp, vulnerándose el principio de confidencialidad.
III
Tipificación de la infracción del artículo 5.1.f) del RGPD La citada infracción del artículo 5.1.f) del RGPD podría suponer la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (...)"
A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que:
"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 72 "Infracciones consideradas muy graves" de la LOPDGDD indica:
"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679. (...)"
IV
Artículo 32 del RGPD
De conformidad con las evidencias de las que se dispone en el presente momento del procedimiento sancionador, se considera que los hechos probados son constitutivos de infracción. Se imputa a la parte reclamada la comisión de una infracción por vulneración del
Artículo 32 del RGPD, que señala que:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c)la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d)un proceso de verificación, evaluación y valoración regulares de la eficacia
de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros".
En el presente caso, en el momento de producirse la brecha de seguridad, no consta que el AYUNTAMIENTO dispusiese de medidas de seguridad razonables en función de los posibles riesgos estimados.
Difundir por WhatsApp, a través de un teléfono móvil corporativo, un correo electrónico remitido al AYUNTAMIENTO por la parte RECLAMANTE denunciando un problema ocurrido en su propiedad, sin anonimizar sus datos personales, no garantiza la confidencialidad, integridad y disponibilidad de los sistemas y servicios del tratamiento.
V
Tipificación de la infracción del artículo 32 del RGPD. La citada infracción del artículo 32 del RGPD podría suponer la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
5) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (...)"
A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 73 "Infracciones consideradas graves" de la LOPDGDD indica:
"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679...
VI
El Artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD apartado 7 establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: ...
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local...
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
(...)
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. (...)"
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER al AYUNTAMIENTO DE ABERTURA, con NIF P1000200D, por una infracción de los artículos 5.1.f) y 32 del RGPD, tipificadas en los artículos 83.5 y 83.4 del RGPD respectivamente, una sanción de apercibimiento.
SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE ABERTURA.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contenciosoadministrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.