Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 22/06/2021
La AEPD ha impuesto la sanción de apercibimiento a un ayuntamiento por enviar sobres impresos posibilitando que cualquier persona pueda tener conocimiento de su contenido.
Este organismo añade que la LPACAP no exige que en los sobres se indique la naturaleza del acto que se notifica.
Por tanto, indicar “providencia de apremio o de embargo” en la parte exterior de los sobres no es proporcional ni adecuado, pues permite conocer a cualquiera el contenido del acto que se notifica.
Por ello, considera que sería adecuado reflejar en el acuse de recibo que se firma una mención genérica del acto junto a algún tipo de identificador que corresponda con el contenido notificado y que figure en el expediente.
PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 3/02/2020 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE BARAÑÁIN con NIF P3138600F (en adelante, el reclamado). Los motivos en que basa la reclamación son que el reclamado le envía sobres con el literal externo impreso en la parte frontal y a la vista de cualquier persona que atenta al derecho al secreto.
Aporta el reclamante:
-Documento 1, se ve a mano anotado en un sobre de franqueo pagado, parte superior derecha “4/12/2019” y en ese frontal del anverso, en la parte izquierda inferior, sobre el código de barras del envío, el literal en mayúsculas y negrita en castellano y euskera “PROVIDENCIA DE APREMIO”. A la derecha, los datos del reclamante. En el centro un sello con “notificación”.
-Copia del literal del contenido informativo, sobre el lugar y plazo, de pago intereses y costas, aplazamientos, recursos, aludiéndose a la Ley Foral General tributaria de la Hacienda Pública de Navarra.
-En otro documento, el literal cambia a “providencia de embargo” siendo el resto de los detalles idénticos.
SEGUNDO: A la vista de los hechos denunciados en la reclamación, de los documentos aportados por el reclamante la Subdirección General de Inspección de Datos procedió a Trasladar la reclamación a la reclamada solicitando la decisión que adoptará con esta reclamación y las medidas adoptadas.
Con fecha 29/06/2020,el reclamado responde, manifestando:
-La Ley Foral 13/2000, de 14/12, General Tributaria de Navarra, artículo 99.1 indica que la práctica de las notificaciones se realizará por cualquier medio que permita tener constancia de la recepción, así como de la fecha, la identidad de quien la recibe, y el contenido del acto notificado.
El artículo 44.1 de la Ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), tercer párrafo, sobre la validez de las notificaciones precisa que lo serán, siempre que permitan tener constancia de su envío o disposición, de la recepción o acceso por el interesado o su representante, de sus fechas y horas, del contenido íntegro, y de la identidad fidedigna del remitente y destinatario de la misma.
Al señalar los requisitos con los que se han de practicar la notificación, consta “por cualquier medio que permita tener constancia del contenido del acto notificado” razón por la que se indica en este caso en el sobre el acto concreto que se notifica.
-En cuanto al medio por el que se realiza la notificación, la providencia de apremio se realiza por correo postal certificado con acuse de recibo, mientras que la providencia de embargo se hace por correo postal ordinario, “al tratarse de un acto trámite y no será obligatoria tener constancia de la notificación efectuada”. Para la entrega de las notificaciones en el centro de admisión de correos se imprimen, ensobran y se utiliza una Agencia comercial de correos.
En cuanto a la notificación de los actos en los que debe existir constancia de la notificación, “si se recibe la notificación, el documento con el anverso queda en poder del destinatario, el acuse de recibo que justifica la entrega se devuelve al remitente” oficina gestora del Ayuntamiento, para su archivo, debiendo en todo caso, tener la “identificación del acto notificado para poder acreditar su entrega” .
Si no es recibida la notificación por cualquier causa, es devuelta al remitente debiéndose posteriormente realizar publicación de la notificación por comparecencia en el Boletín Oficial de Navarra siendo dicha publicación de obligado cumplimiento para notificar el acto administrativo.
“Salvo las personas que se encuentren en el domicilio del interesado o los empleados de correos, ninguna persona del entorno del interesado que no se encuentre en el domicilio tiene acceso a dicha información.“
“Al tratarse de una notificación por correo certificado y siendo posible que en el domicilio de la persona interesada este otra persona distinta del titular que puede recibir la notificación ( familiar, empleada del hogar, etcétera…) el figurar en el sobre el acto que se trata de notificar posibilita que la tercera persona pueda decidir recoger o no la notificación atendiendo a lo que la propia persona interesada le haya autorizado.”
En cuanto a la notificación de los actos que por ser de trámite no es obligatorio tener constancia de la notificación realizada, se deposita en el buzón de correo de la persona interesada en la dirección postal que consta como domicilio de notificación.
Indica que es especialmente importante que en los actos resolutorios o definitivos se deje constancia del contenido del acto notificado a efectos de eventuales recursos .
-Sobre las medidas adoptadas se va a eliminar de los sobres el detalle en los actos de trámite del procedimiento de recaudación, apremio.
“No se considera preciso eliminar el detalle de los actos que se notifican cuando es preciso dejar constancia del contenido del acto notificado y por otra parte, son actos que se notifican mediante correo certificado con acuse de recibo, lo que supone que se hace la notificación en el propio domicilio de la persona que tiene la deuda, no se deposita en el buzón qué puede ser objeto de visión por terceros ajenos”. “Se adoptará el criterio que exponga en la resolución al presidente expediente la AEPD”.
TERCERO: Con fecha 27/11/2020, la Directora de la AEPD acuerda:
“INICIAR PROCEDIMIENTO SANCIONADOR” de apercibimiento “al AYUNTAMIENTO DE BARAÑÁIN, por la presunta infracción del artículo 32 del RGPD, conforme señalan los artículo 83.4.a) y 58.2.b) del RGPD, y 73.f) de la LOPDGDD.”
CUARTO: Con fecha 11/12/2020 el reclamado presenta las siguientes alegaciones
- La Ley Foral 13/2000, de 14/12 General Tributaria de Navarra, artículo 99 apartado primero dispone:
“En los procedimientos de gestión, liquidación, comprobación, investigación y recaudación de los diferentes tributos, así como en los sancionadores y en los que se sustancien los recursos y reclamaciones tributarias, las notificaciones se practicarán por cualquier medio que permita tener constancia de la recepción por parte del interesado o de su representante, así como de la fecha, la identidad de quien recibe la notificación y el contenido del acto notificado.
La acreditación de la notificación efectuada se incorporará al expediente”
-La LPACAP, de aplicación supletoria, artículo 41 párrafo tercero de su apartado primero establece:
“Con independencia del medio utilizado, las notificaciones serán válidas siempre que permitan tener constancia de su envío o puesta a disposición, de la recepción o acceso por el interesado o su representante, de sus fechas y horas, del contenido íntegro, y de la identidad fidedigna del remitente y destinatario de la misma. La acreditación de la notificación efectuada se incorporará al expediente.”
-Entre otros requisitos, se deben practicar las notificaciones por cualquier medio que permita tener constancia del “contenido del acto notificado”. Para poder tener constancia del contenido del acto notificado se indica el acto concreto notificado en el sobre.
Por lo anteriormente expuesto, se dieron las indicaciones a las diferentes empresas contratadas para la gestión de la deuda en vía de apremio a fin de que se eliminaran de los sobres el detalle de los actos notificados cuando son actos de trámite.
- Respecto de las sentencias de la Audiencia Nacional (mencionadas en el acuerdo de inicio), hacen referencia, tal y como se indica en el propio acuerdo de inicio del expediente sancionador, a reclamaciones de deuda dentro del ámbito privado, en los sobres utilizados para la notificación de los tramites dentro del procedimiento de apremio no se indica “cobro morosos” con las connotaciones que ello puedo tener, entre ellas la pretensión de que se efectúe el pago sin el inicio de ninguna actuación legal de ningún tipo para solicitar el pago de la deuda.
-En la actuación realizada para notificar y que es el origen del presente expediente sancionador, se está ante un procedimiento administrativo, el procedimiento de apremio, que constituye una manifestación de la autotutela de la administración pública y consiste en el poder que tiene la administración para ejecutar las deudas que tiene a su favor sin necesidad de acudir a los tribunales. Dicho procedimiento se inicia con la notificación de la providencia de apremio, y cuyo objetivo es poner en conocimiento de las personas interesadas el acto administrativo que se quiere notificar y que le afecta, al tiempo que se pretende dar eficacia al acto notificado.
-Reitera que la notificación de actos en los que debe existir constancia de la notificación y que se realizan con el servicio de correos mediante envío de correo postal certificado y con acuse de recibo, en el supuesto de recepción de la notificación, el documento, en cuyo anverso consta el detalle del acto notificado, queda en poder del destinatario, el acuse de recibo que justifica la entrega se devuelve al remitente para su archivo, debiendo en todo caso, tener la identificación del acto notificado para poder acreditar su entrega, sin que en ningún momento se permita el visionado del sobre a terceros ajenos al servicio de correos o a la persona que recoge la notificación en el domicilio de la persona interesada.
“Se ha confirmado que las empresas contratadas para la gestión de la deuda en vía de apremio han eliminado de los sobres el detalle del acto que se pretende notificar cuando son actos de trámite.”
QUINTO: Se emitió el 12/05/2021 propuesta de resolución con el literal:
“Que por la Directora de la Agencia Española de Protección de Datos se sancione a AYUNTAMIENTO DE BARAÑÁIN/BARAÑAIN, con NIF P3138600F, por una infracción del artículo 32 del RGPD, de conformidad con el artículo 83.5 del RGPD, con apercibimiento” No se recibieron alegaciones.
HECHOS PROBADOS
1-El reclamante aportó dos sobres procedentes del reclamado, en el anverso de ambos, se indica, en uno: “PROVIDENCIA DE EMBARGO, en el otro PROVIDENCIA DE APREMIO”, en mayúsculas y negrita, en castellano y euskera. A la derecha, los datos del reclamante, nombre y apellidos y dirección postal. En el centro un sello con “notificación”. Considera el reclamante que sus datos junto a la información concreta del procedimiento pueden ser conocidos por cualquier parte, no solo el como titular.
2-La reclamada considera que toda notificación para tener validez ha de contener el contenido integro del acto, y que se ha de notificar, por cualquier medio que permita tener constancia del contenido del acto notificado, y entiende cumplida la prescripción indicando “providencia de apremio”, o “providencia de embargo”.
3-La reclamada ha reiterado tras el acuerdo de inicio que la providencia de apremio es una resolución que se notifica por correo certificado con acuse de recibo al destinatario indicándose en este, el contenido del acto que se notifica firmado por el destinatario, que se incorpora al procedimiento. Añade que va a mantener el literal en el sobre a salvo de lo que se resuelva en este procedimiento.
4-En cuanto al literal de “providencia de embargo” manifiesta que no se notifica por correo certificado con acuse de recibo, por estimar que se trata de un acto de trámite que no resuelve el procedimiento, y pese a ser una notificación administrativa ha ordenado que los sobres no contengan el citado literal.
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para resolver este procedimiento.
II
En referencia a sobres enviados para notificar o informar, con la dirección de los destinatarios y la información añadida a su lado, por ejemplo conteniendo “cobro morosos”, o similares, varias sentencias de la Audiencia Nacional, Sala de contencioso administrativo, sección primera, si bien en el ámbito privado, no en la notificación de un acto administrativo, se han pronunciado confirmando resoluciones de la AEPD en las que se imponen sanciones por infringir los principios de seguridad en el tratamiento de datos con la anterior LOPD Por citar dos, la de 15/04/2014, recurso 143/2013 y la de 10/07/2014 recurso 212/2013.
En ambas, se indica que los soportes y documentos vulneran las medidas de seguridad en el tratamiento cuando en el traslado de soportes y documentos que contienen datos de carácter personal, no adopten las medidas dirigidas a evitar el acceso indebido a la información durante su traslado. (artículo 92 del RLOPD).
Al respecto se debe diferenciar el contenido de lo notificado, el acuse de recibo o tarjeta de aviso de recibo que suele acompañar al envío y que es en su caso y de acuerdo con la Ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), la que debe reunir los requisitos legales que se exigen, y de los que queda constancia en el expediente, o se incorpora al mismo, no así del sobre que es de lo que trata este procedimiento. Exponer el contenido en el sobre que se envía no está contemplado en la citada normativa administrativa que además no es lo que acredita la constancia de la recepción, sino que lo es la tarjeta de aviso.
III
El RGPD indica:
artículo 1:
“1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales .”
Entre otros derechos, figuraría también el derecho al honor, afectando a la reputación personal (considerando 75 del RGPD ) o a la confidencialidad en el derecho al trámite de un procedimiento de manera que ningún tercero tenga porque conocer que se lleva a cabo un procedimiento contra esa persona, en este caso de apremio por presunto impago de tasas o impuestos, o si fuera de otro tipo, ni que tipo de procedimiento, ni por quien se le lleva a cabo.
Dos de los principios fundamentales en protección de datos: confidencialidad y seguridad suponen límites a su tratamiento.
artículo 3: “1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.”
artículo 4:
A efectos del presente Reglamento se entenderá por:
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;” El artículo 13.h) de la LPACAP indica:
“Quienes de conformidad con el artículo 3, tienen capacidad de obrar ante las Administraciones Públicas, son titulares, en sus relaciones con ellas, de los siguientes derechos:
h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.”
IV
Argumenta la reclamada que para la validez del acto a notificar, se debe notificar por cualquier medio que permita tener constancia de la recepción, así como de la fecha, la identidad de quien la recibe, y el contenido integro del acto notificado. Se refiere al artículo 41 de la LPACAP que indica, dentro del apartado de los efectos de los actos de las administraciones publicas, su demora cuando esté supeditada a su notificación.
Señala el artículo 41 de la LPACAP: “Condiciones generales para la práctica de las notificaciones”:
“1. Las notificaciones se practicarán preferentemente por medios electrónicos y, en todo caso, cuando el interesado resulte obligado a recibirlas por esta vía. No obstante lo anterior, las Administraciones podrán practicar las notificaciones por medios no electrónicos en los siguientes supuestos:
a) Cuando la notificación se realice con ocasión de la comparecencia espontánea del interesado o su representante en las oficinas de asistencia en materia de registro y solicite la comunicación o notificación personal en ese momento.
b) Cuando para asegurar la eficacia de la actuación administrativa resulte necesario practicar la notificación por entrega directa de un empleado público de la Administración notificante.
Con independencia del medio utilizado, las notificaciones serán válidas siempre que permitan tener constancia de su envío o puesta a disposición, de la recepción o acceso por el interesado o su representante, de sus fechas y horas, del contenido íntegro, y de la identidad fidedigna del remitente y destinatario de la misma. La acreditación de la notificación efectuada se incorporará al expediente.
3. En los procedimientos iniciados a solicitud del interesado, la notificación se practicará por el medio señalado al efecto por aquel. Esta notificación será electrónica en los casos en los que exista obligación de relacionarse de esta forma con la Administración.
Cuando no fuera posible realizar la notificación de acuerdo con lo señalado en la solicitud, se practicará en cualquier lugar adecuado a tal fin, y por cualquier medio que permita tener constancia de la recepción por el interesado o su representante, así como de la fecha, la identidad y el contenido del acto notificado.”
La finalidad de la notificación es lograr que el acto administrativo sea conocido por el interesado para que, en definitiva, pueda aquietarse o reaccionar ante el mismo con todas las garantías de defensa. Bien claro lo dice la sentencia del Tribunal Supremo (Sala 3.ª, sección 4.ª) de 30/04/1998, ECLI:ES:TS:1998:8258 que «lo importante y trascendente de toda notificación es que llegue a conocimiento del interesado la actuación de la Administración y ello en condiciones tales que le permita conocer el contenido de la diligencia a fin de que pueda utilizar los medios de defensa oportunos». Lo mismo viene a decir la sentencia del Tribunal Constitucional n.º 55/2003, de 24/03, ECLI:ES:TC:2003:55, al señalar que las notificaciones «tienen la finalidad material de llevar al conocimiento de los afectados las resoluciones judiciales [o administrativas] con objeto de que puedan adoptar la postura que estimen pertinente para la defensa de sus intereses, evitando que se produzcan situaciones de indefensión».
El término de que se ha de notificar, “por cualquier medio que permita tener constancia del contenido del acto notificado” no implica per se que se deba anotar el especifico contenido del acto que se contiene en un sobre, soporte continente de la resolución no es el adecuado pues no es el sobre lo que da constancia al acto notificado, sino la tarjeta de correos que correlaciona el contenido del sobre con la copia que queda en el expediente. Esa tarjeta es la que debe indicar suficientes elementos que permitan derivar contenido entregado, con contenido acreditado. Nada que ver con el sobre en el que viaja el contenido de lo resuelto.
El asunto se resume, en cuanto a la validez y efectos de la notificación, sería que permita tener constancia entre otros elementos, del contenido de lo que se notifica. A titulo de ejemplo, la Sentencia del Tribunal Supremo, sala de lo contencioso, recurso 2467/2001, sección 4, de 10/02/2004 alude la tarjeta de acuse de recibo, que ha de contener referencia en su carátula al objeto y al carácter de la resolución que se notifica y la Administración ha de aportar dato que directamente justifique tal extremo, a pesar de que en el expediente deba conservarse una copia de la resolución que acompañó a la remisión de la tarjeta con algún tipo de autenticación que lo demuestre, refiriéndose en todo momento a que es la tarjeta la que puede acreditar la referencia al contenido del acto, no el sobre como se discute aquí, porque no es el sobre el que queda en poder como recibo, sino la tarjeta que certifica el envío, recepción y el contenido somero que permite identificar lo enviado. No basta que el acuse acredite que se envíe un documento elaborado o procedente del órgano competente, sino que ha de referirse a la resolución concreta en el anverso del acuse de recibo, siendo a la Adminsitración a la que incumbe acreditar fehacientemente que el acto notificado es el que dice ser en dicha tarjeta de aviso. En este supuesto, no se trata de que el sobre con el literal expreso en mayúsculas sea el que deba contener la referencia a su contenido, siendo solamente la tarjeta que es la que queda dando constancia en el expediente que custodia en este caso la administración . Lo contrario podría dar validez a notificaciones con sobres en los que se podrían contener de forma desproporcionada literales que pueden vulnerar la intimidad de los notificados, en cuestiones como por ejemplo “expediente de expulsión “ para extranjeros irregulares, por “tenencia de sustancias”, etc., que también aluden al acto notificado.
Además, la reclamada asevera que guarda dicha tarjeta de aviso que acredita el contenido del acto notificado, afirmando que el literal plasmado ayuda a decidirse a coger el envío. Ello no es sino una afirmación unilateral que no tiene en cuenta que se trata de un soporte físico que junto a esa información, están los datos personales del interesado, y que puede ayudar a que terceros no relacionados con la notificación lleguen a conocer hechos que ni son necesarios para que la misma surta efectos, no se prevén expresamente en su regulación, y son atentatorios al derecho a que no se conozca el contenido de la correspondencia por el título que esta pueda llevar. Tampoco resulta inusual que del reparto de las cartas se ocupen empleados de las fincas, administradores etc. La corrección del sistema de los sobres supone igualmente el respeto de la minimización de datos cuando dicho tratamiento no es necesario, proporcional ni adecuado.
En cuanto a que el literal del sobre acreditaría el contenido del acto, se debe señalar que el mero titulo externo no es indicativo de su contenido. El “contenido integro” se alude, entre otras, por la sentencia de la Audiencia Nacional, Sala de lo Contencioso-administrativo, Sección 4ª, Sentencia 45/2016 de 3/02/2016, Recurso 68/2014 que considera defectuosa la notificación por no contener el contenido integro del acto administrativo (se refiere al acto completo, razonamientos, exposición de hechos, resolución, vía de recursos en su caso que caben contra el no al literal que avisa del contenido. “Se aprecian, decíamos, cuando menos, la omisión de tres requisitos legales, a saber, no contiene el contenido íntegro del acto administrativo acordado, limitando simplemente e informar al representante del interesado que se ha dictado la resolución y la parte dispositiva de la misma, no se menciona si se trata de un acto definitivo o no en vía administrativa, requisito que impone el artículo 58.2 de la Ley 30/92, ni tampoco se indica instrucción o información alguna de los recursos que pueden interponerse contra el acto administrativo notificado.”
Añadir por ello, como hace la reclamada que con ello se pretende cumplir el requisito de completar el “contenido integro” del acto poniendo “providencia de apremio” no solo no se ajusta con una interpretación racional del sistema de notificación, sino que no es proporcional que se deba implementar parte del contenido sustantivo de lo notificado en el sobre, cuando no asegura aspecto alguno de su contenido integro.
V
Por otro lado, el artículo de a LPACAP se refiere a las “notificaciones”, sin diferenciar contra las que cabe recurso o no, son o no de trámite, siendo distinta la validez, al no constar la recepción, que puede ser alegado por el afectado, siendo por otro lado, los principios generales para practicarla idénticos en cualquier notificación.
Los hechos, suponen una infracción en materia de protección de datos incardinados en el artículo 32 del RGPD, que indica:
“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para
demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.”.
La naturaleza, el contexto y la finalidad de la notificación en relación a lo que indica el precepto legal de la LPACAP, no apunta a que sea necesario, proporcional ni adecuado que se contenga en los sobres la explicita referencia que permita conocer el especifico y detallado contenido de lo que se traslada al destinatario del envío, no correspondiéndose con el sentido del contenido integro de lo notificado ni acreditando constancia de lo que se notifica. Normalmente sería adecuado reflejar en el acuse de recibo que se firma una mención genérica del acto, junto a algún tipo de identificador que como se ha dicho se corresponda con el contenido notificado y que figure en el expediente.
La seguridad de los datos es importante no solo porque es un requerimiento legal, sino porque contribuye a una buena gobernanza de los datos y a acreditar el cumplimiento que impone el RGPD. Cuando no se demuestra que el tratamiento de hacer constar en los sobres, los términos providencia de apremio o de embargo por no ser idóneo, necesario ni proporcional a los fines, hay que añadir que la norma administrativa no se refiere a que se tenga que añadir los calificativos en las notificaciones, ya que afecta directamente a la reputación de la persona, sin necesidad de ello.
VI
La infracción se incluye en el artículo 83.4.a) del RGPD, que indica:
“4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;”
El artículo 58.2 del RGPD indica: ”Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
“b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;”
“d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado”.
“i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular”
El artículo 83.7 del RGPD añade:
“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”
El ordenamiento jurídico español ha optado por no sancionar con multa a las entidades públicas, tal como se indica en el artículo 77.1. c) y 2. 4. 5. y 6 de la LOPDDGG:
“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
“c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.”
“2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.”
“4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. 6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.”
El artículo 73 de la LOPDGDD indica: ”Infracciones consideradas graves” :
“En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.”
Como medida especifica en este asunto, se recomienda que se dejen de utilizar en las notificaciones los sobres con los literales analizados en esta resolución.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos
PRIMERO: IMPONER a AYUNTAMIENTO DE BARAÑÁIN, con NIF P3138600F, por una infracción del artículo 32 del RGPD, de conformidad con el artículo 83.5 b) del RGPD, una sanción de apercibimiento.
SEGUNDO: De conformidad con el artículo 58.2. d) del RGPD, se ordena al responsable del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, debiendo informar a esta AEPD de su ejecución en el plazo de un mes.
TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE BARAÑÁIN.
CUARTO : COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
QUINTO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contenciosoadministrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.