Sanción a ayuntamiento por facilitar a asociación los datos personales de los participantes en proceso de consultas


AEPD 09/03/2021

Se interpuso reclamación contra un ayuntamiento por transmitir los datos personales de los participantes en un proceso de información pública sin el consentimiento de los mismos.

El ayuntamiento manifestó que no divulgó ningún dato personal sensible de los participantes, solamente transfirió la información obtenida en el proceso de participación a la asociación interesada.

No obstante, resultó probado que en esos formularios figuraba el nombre, dirección y email de los participantes.

Por ello, la AEPD le impone una sanción de apercibimiento por facilitar a la asociación las alegaciones con los datos personales de los participantes sin su consentimiento.

Agencia Española de Protección de Datos, Resolución, 9-03-2021

ANTECEDENTES DE HECHO 

 

PRIMERO: RECLAMANTE 1, identificado para el reclamado en ANEXO GENERAL (en adelante, el reclamante) con fecha 12/11/2019 interpuso reclamación ante la Agencia Española de Protección de Datos dirigida contra AYUNTAMIENTO DE ICOD DE LOS VINOS con NIF P3802200J (en adelante, el reclamado). Los motivos en que basa la reclamación son que el reclamado inició a partir del mes de julio 2019 un proceso de participación ciudadana, y los vecinos hicieron alegaciones rellenando un formulario de solicitud creado por la propia administración. "Cerrada la primera fase del proceso", "se llevaron por parte del grupo de Gobierno varios pendrive con dichas alegaciones al Consejo de Recuperación de la playa de San Marcos, (CR en lo sucesivo), entidad formada por miembros de los distintos grupos políticos del Pleno municipal y de dos Asociaciones.""El pendrive conteniendo los datos y lo manifestado por cada ciudadano fue entregado a cada miembro de dicho CR".

Manifiesta que, entre otros, figuran los datos de nombre y apellidos, DNI, y dirección de correo electrónico.

Considera que "en ningún momento me hicieron firmar ningún documento en el que permitía la divulgación de los mismos y tampoco tiene por qué ningún partido enterarse de mis datos".

Con fecha 12/12/2019, se recibe reclamación suscrita por RECLAMANTE 2 que manifiesta ser Concejal por un partido, y que figura en el ANEXO GENERAL, añade a los hechos, que el 19/09/2019, se celebró sesión extraordinaria y urgente del CR, entidad compuesta por representantes de todos los partidos políticos con representación en el Pleno del Ayuntamiento y por una plataforma ciudadana denominada "SOS PLAYA SAN MARCOS" y representantes de la "COFRADÍA DE PESCADORES DE LA PLAYA DE SAN MARCOS" y se facilitó a los asistentes un pendrive con todas las encuestas realizadas y también se dio una copia al estudio de "***ESTUDIO.1" para que informe de la viabilidad técnica y económica de las alegaciones presentadas.

Junto a la reclamación aporta: RECLAMANTE 1:

- Un correo electrónico de 1/08/2019 asunto "nos mojamos por San Marcos". "Propuesta técnica", "proyecto recuperación de la playa de San Marcos", con su nombre y apellidos, su DNI, su dirección de correo electrónico y la opinión que le merece el proyecto. Enviado a comunicación@icodelosvinos y su justificante de registro electrónico de la sede del reclamado que indica que se recibió el 1/08/2019 a través de la web del Ayuntamiento.

-Un impreso cumplimentado con el logo "nos mojamos por San Marcos. Tu opinión cuenta." "Queremos recoger las sugerencias y te rogamos hagas las alegaciones que consideres" en el que figuran cumplimentados a mano los datos del reclamante, y su firma, y el literal "adjunto al registro de entrada ya entregado núm. XXXX de 29/07/2019" Este formulario no lleva literal informativo de recogida de datos. LE acompaña otro escrito modelo instancia, normalizado con membrete de la Secretaria General, que contiene los datos del reclamante rellenados a mano, como solicitante, con su email , número de teléfono y un pequeño recuadro en el que el manifiesta su desacuerdo al proyecto. No figura ningún sello de entrada del Ayuntamiento y figura en este modelo un literal informativo AVISO LEGAL sobre los datos de imposible lectura leyéndose solo la LOPD 15/1999.

-RECLAMANTE 2: Aporta copia:

a) En doc 1, de la Orden del día de la convocatoria para sesión extraordinaria y urgente del CR, como el primer punto, toma de conocimiento de acuerdo de la Junta de Gobierno respecto al inicio y prórroga procedimiento de participación ciudadana, y punto segundo: toma de conocimiento de las alegaciones recibidas hasta el 16/09/2019. Acompaña también las copias de algunos nombramientos de representantes del CR.

b) Del formulario en papel para recoger datos manuscritos "tu opinión cuenta" qué es susceptible de recoger nombre apellidos y DNI y las sugerencias o alegaciones que se pueden hacer que no lleva literal informativo de recogida de datos y tratamiento de datos.

c) En documento anexo, entrada 59465/2019, memoria USB escaneada, desglosada en seis documentos identificados en el procedimiento con dicho nombre. En un somero examen se aprecia:

-DOCUMENTO UNO: pdf de 41 folios. Se contienen formularios, muchos de ellos presentados en el registro electrónico del Ayuntamiento en diferentes fechas, por ejemplo 18/09/2019, y que según la copia del mensaje, se reciben a través la web del Ayuntamiento junto a los envíos en formato correo electrónico, a la que se acompaña una diligencia que genera, que indica con el sello del Ayuntamiento que el "presente documento relativo alegaciones sobre la propuesta técnica suscrito por la persona se ha recibido a través de la web de este Ayuntamiento el día...". También se contienen los formularios cumplimentados a mano en los que sin embargo consta su presentación en la sede electrónica. En el formato enviado a través de correo electrónico no se contiene información sobre el tratamiento de datos. En el cumplimentado a mano tampoco

-DOCUMENTO DOS: contiene el mismo formulario que documento uno, presentado al reclamado.

-DOCUMENTO TRES, 75 folios, a partir del folio 32 se contienen formularios con datos personales de la encuesta del proyecto.

-DOCUMENTO CUATRO, 61 folios, no contiene datos personales. Es un anexo de documento presentado por una persona que efectuó alegaciones.

-DOCUMENTO CINCO, 47 folios, se inicia con un listado sin membrete, ordenado por fecha 15/08/2019, nombre y apellidos, portando la hoja el sello SOS SALVAR LA PLAYA ICOD Plataforma. El listado ocupa 27 de 47 folios. Se ve otro folio de "change.org" con el texto "Apoya la alternativa de SOS PLAYA DE SAN MARCOS al proyecto de recuperación de la playa "AYUNTAMIENTO DE ICOD DE LOS VINOS", y vuelve a llevar el sello SOS SALVAR LA PLAYA- PLATAFORMA CIUDADANA, Indicándose en otra hoja que sigue, 577 personas han firmado.

-DOCUMENTO SEIS, 96 folios, se inicia del mismo modo que documento cinco, esta vez ocupando 29 de 96 páginas. Le sigue el mismo literal de apoyo a la alternativa, información sobre SOS SALVAR LA PLAYA- PLATAFORMA CIUDADANA y antecedentes del estado de conservación de la playa y pidiendo a la ciudadanía que compartan sugerencias, a continuación un listado recogido conteniendo firmas manuscritas así como nombre y apellidos y DNI por la campaña SOS PLAYA SAN MARCOS y el sello en cada página del listado de SOS PLAYA SAN MARCOS. Un primer listado llega a 125 firmantes, folio 34 a 37, Le sigue un segundo listado con otras 125 firmas, folio 41 a 45, distintas de las anteriores, un tercero folio 49-53, y un cuarto de 56 a 60 con 67 firmas, y se aprecia que hay más listados que continúan las listas.

Esta plataforma de recogida de firmas parece distinta en origen a la seguida por el Ayuntamiento con independencia de que se agreguen o se envían a las del citado Ayuntamiento. Entre la información de la recogida no figura extremo alguno que informe sobre la recogida de firmas, y que la plataforma se creó en 2014.

SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por el reclamante se traslada al AYUNTAMIENTO DE ICOD DE LOS VINOS el 16/01/2020 la reclamación por vía telemática que al no ser abierta resultó "expirada", con el detalle certificado de:

Fecha de puesta a disposición: 21/01/2020 13:44:05

Fecha de rechazo automático: 01/02/2020 00:00:00

El rechazo automático se produce, de forma general, tras haber transcurrido diez días naturales desde su puesta a disposición para su acceso según el párrafo 2, artículo 43, de la ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas.

El envío se reitera, por deferencia por correo ordinario, siendo entregada la petición de información el 6/02/2020.

No se contestó a la petición y la reclamación se admite a trámite el 8/06/2020.

TERCERO: Con fecha 17/06/2020, por la Directora de la Agencia Española de Protección de Datos, se acordó: "INICIAR PROCEDIMIENTO SANCIONADOR a AYUNTAMIENTO DE ICOD DE LOS VINOS, por la presunta infracción del RGPD, en sus artículos:

-5.1.c)

-13

De conformidad con el artículo 83.5. a) y b) del RGPD."

CUARTO: Notificado el citado acuerdo de inicio, el reclamado presentó escrito de alegaciones el 10/07/2020 en el que, en síntesis, solicita el archivo, manifestando:

-El Ayuntamiento, sus representantes, forman parte del CR, al ser un miembro más de dicho órgano. Los denunciantes también forman parte del CR. "La información compartida se hace en el seno del propio CR, por uno de los miembros del mismo, el Ayuntamiento, nunca para ser divulgada a través de ningún medio, sino para ser utilizada en el ámbito de los fines para los que se creó el CR." "Cuando se facilitó exclusivamente a los miembros del CR el pendrive con las sugerencias y propuestas de los ciudadanos, se hizo con la exclusiva finalidad de que el CR conociese dichas propuestas y poder acordar y llevar a cabo iniciativas conforme a dichas propuestas y sugerencias realizadas". No se hizo con otra finalidad." El uso que se hizo de los datos fue exclusivamente en el seno del CR". "No puede hablarse de comisión de infracción por cuanto no ha sido divulgado ningún dato personal por esta corporación salvo para facilitar la información a los miembros del CR con una finalidad muy concreta."

-"La supuesta infracción no puede reputarse cometida pues solo se contenían datos relativos a nombre, apellidos, dirección email, nunca datos sensibles."

-"Respecto a la propuesta de sanción y teniendo en cuenta de que se trata de un elemento esencial para la formulación de la misma, entiende que el acto notificado adolece de manifiesta falta de motivación que genera indefensión".

- "No se indica el texto del RGPD en que está tipificada la supuesta infracción cometida", se entiende que no se motiva "la conducta constitutiva de infracción administrativa".

- No se ha practicado actividad probatoria que "permita al instructor la formación de un juicio razonable de culpabilidad". "La conducta del reclamado no se puede considerar ni dolosa ni negligente".

QUINTO: Con fecha 9/02/2021 se emitió propuesta de resolución con el literal:

"Que por la Directora de la Agencia Española de Protección de Datos se sancione a AYUNTAMIENTO DE ICOD DE LOS VINOS, por una infracción del artículo 5.1.c) del RGPD y otra del artículo 13 del RGPD, de conformidad con el artículo 83.5 a) y b) del RGPD, con sanción de apercibimiento."

En el plazo establecido no se recibieron alegaciones.

HECHOS PROBADOS

1) El reclamado inició a partir del mes de julio 2019 un proceso de participación ciudadana llamado: "Nos mojamos por San Marcos. proceso de participación CIUDADANA", sobre la propuesta técnica del proyecto de recuperación de la playa de San Marcos de Icod de los Vinos, y los ciudadanos hicieron alegaciones.

Los dos reclamantes manifiestan en sus reclamaciones que el reclamado, de cara a la celebración de la Junta del Consejo de Recuperación de la playa de San Marcos (CR) celebrada el 19/09/2019, entregó a cada representante del CR, una memoria USB, conteniendo las alegaciones hechas por cada ciudadano incluidos sus datos personales: nombre y apellidos, DNI y correo electrónico. Reclamante dos, que manifiesta ser Concejal, en representación de un partido, forma parte del CR, y en su reclamación aportó copia de la documentación contenida en la memoria USB entregada.

2) Reclamante dos, aportó en documento tres un formulario de Impreso de recogida

de datos que posibilitaba su cumplimentación a mano, con el logo del Ayuntamiento y de la campaña con espacio para nombre apellidos, DNI, firma y un párrafo para exponer las alegaciones. No figura referencia informativa alguna a la recogida y tratamiento de datos personales. Se aprecia por reclamante uno, por otro lado, que otros formularios, tipo instancia del reclamado, siguen llevando el literal informativo de la anterior referencia a la ley 15/1999, LOPD. Reclamante dos aportó copia de estos impresos cumplimentados, así como copias de envíos de alegaciones a la campaña, a través de la web del reclamado por correo electrónico: a comunicacion@icoddelosvinos.es, que se transmitía como entrada en la sede electrónica del reclamado, presentadas antes del 19/09/2019, conteniendo además de nombre y apellidos, DNI y correo electrónico, folios 19 a 230 de 461. El texto generado en el envío del correo electrónico conteniendo las alegaciones al proyecto tampoco porta literal informativo sobre el tratamiento, finalidad y uso de los datos recogidos.

3) También figura en la copia de la memoria USB aportado por reclamante dos, un listado con nombre y apellidos, localidad, y fecha, asociada a cada persona, comprendiendo de 14 a 16/08/019 con el sello "SOS SALVAR LA PLAYA ICOD PLATAFORMA CIUDADANA" folios 231 a 257 de 461, y en change.org/folio 259) informando que 577 personas han firmado ya. En el folio 263, se indica que plataforma ciudadana "Sos La Plataforma" como integrante de los CR presenta a las alternativas apoyadas por 1205 firmas al proyecto solicitados a la ciudadanía por el actual grupo de Gobierno, fecha 16/09/2019. Además, figuran listados de la citada plataforma con las firmas manuscritas con nombre y apellidos y DNI de las personas que se adhieren a la misma 312 a 372.

4) El Reglamento del Consejo Municipal de recuperación de la playa de San Marcos de Icod de los Vinos, como órgano asesor y consultivo del reclamado en materia de actuaciones a ejecutar para la correcta recuperación de la playa de San Marcos (CR) , determina los miembros que lo compone, figurando entre otros: Vicepresidente, el Concejal Delegado del Área de obras, un representante de cada uno de los grupos políticos municipales con presencia en el Pleno, un representante de la Cofradía de Pescadores de San Marcos, y dos representantes de la plataforma ciudadana "S.O.S. Playa San Marcos. Icod.

5) La convocatoria de sesión extraordinaria y urgente del CR para el jueves 19/09/2019, fija en el orden del día: Primero: "toma de conocimiento de los acuerdos de la Junta de Gobierno respecto al inicio y prórroga del procedimiento de participación ciudadana" y segundo "toma de conocimiento de las alegaciones recibidas hasta el 16 de septiembre del 2019".

FUNDAMENTOS DE DERECHO 

 

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para resolver este procedimiento.

II

La STC 292/2000 señala que "... el contenido del derecho fundamental de protección de datos consiste en un poder de disposición y control sobre los datos personales que faculta a la persona para decidir cuáles de sus datos proporciona a un tercero (...) estos poderes de disposición y control sobre los datos personales, que constituyen parte del derecho fundamental a la protección de datos se concreta jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular", es decir a saber quién, porque y que datos se van a tratar.

Ello permite a los afectados, en este caso los ciudadanos ejercer el control sobre sus datos de carácter personal (la autodeterminación informativa). "El deber de información previa forma parte del contenido esencial del derecho a la protección de datos, pues resulta un complemento indispensable del tratamiento de datos El deber de información sobre el uso y destino de los datos personales está íntimamente vinculado con el principio general de habilitación legal del tratamiento y ejercicio de derechos, pues si no se conoce su finalidad y destinatarios, difícilmente puede ejercitarse derecho alguno sobre sus propios datos."

En este caso el reclamado recogió datos de carácter personal destinados a la participación pública en un proyecto, sin informar del tratamiento de esos datos. Además, los copió en un soporte, memoria USB, tal cual fueron recogidos y presentados, repartiendo a cada miembro del CR una memoria, conteniendo todas las alegaciones y los datos, con el fin de que el CR en el ejercicio de sus competencias conociera las alegaciones para asesorar en la decisión a tomar.

III

Tal y como establece el considerando 39 del RGPD, "para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados."

Define el RGPD en su artículo 4:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;"

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

4) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

El artículo 1 del RGPD indica:

"1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos."

Artículo 2. Ámbito de aplicación material

"1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero."

Se considera que el reclamado ha cometido una infracción del artículo 13 del RGPD, que indica:

"1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado."

Queda acreditado que el reclamado no ofreció información alguna sobre este artículo.

IV

Las funciones del CR según su artículo 3, son:

"- Supervisión y seguimiento de la redacción de los estudios y proyectos necesarios hasta su culminación, y de la contratación del mismo, que pongan solución definitiva a la situación actual de la Playa San Marcos y su entorno.

- Asesoramiento, estudio y consulta de las cuestiones que, en materia de las actuaciones a realizar en la Playa de San Marcos, le sometan a su consideración el Ayuntamiento de Icod de los Vinos o cualquier ciudadano.

- Asesorar en campañas formativas y divulgativas sobre la Playa de San Marcos de la Ciudad de Icod de los Vinos.

- Proponer la adopción de medidas conducentes al enriquecimiento y difusión de la Playa de San Marcos.

-Cualquier propuesta tendente a la conservación y protección de la Playa de San Marcos de la Ciudad de Icod de los Vinos."

La reclamada, recogió tal cual fueron presentadas las alegaciones al proyecto, sin depurar su contenido, con los datos personales asociados a la fecha de su presentación, en un formato de memoria de USB se copiaron y repartieron en memorias USB a los miembros del CR.

En el acceso a información que se da a todos los miembros pertenecientes al CR, ha de valorarse si esos datos personales son imprescindibles para el fin de las funciones atribuidas al CR y son inseparables de las opiniones de las personas que las efectúan, o si no son precisos los datos. Si cabe instrumentar los medios que sean menos intrusivos en los derechos de las personas para obtener los mismos fines, es decir sin datos personales, solución más respetuosa con la intimidad de sus autores, habría de dar valor a esta solución antes que a la que efectuó el reclamado.

Para los afectados supone que sus datos personales van a ser divulgados a un tercero, distinto del responsable de su recogida, y que si no resultan estrictamente necesarios y el fin puede lograrse sin trasladar esos datos, es preferible no comunicarlos, ya que supone una intromisión en su derecho fundamental (18.4 Constitución Española).

El artículo 25 del RGPD señala:

"1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas."

Este artículo tiene el efecto de considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios y le confiere la categoría de requisito legal al principio de integrar las garantías para la protección de los derechos y libertados de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo Entendido pues como la necesidad de considerar la privacidad y los principios de protección de datos desde la concepción de cualquier tipo de tratamiento y a los efectos de redacción de este documento, los términos "protección de datos desde el diseño" y privacidad desde el diseño pueden ser considerados equivalentes La privacidad desde el diseño implica utilizar un enfoque orientado a la gestión del riesgo y de responsabilidad pro-activa para establecer estrategias que incorporen la protección de la privacidad a lo largo de todo el ciclo de vida del objeto (ya sea este un sistema, un producto hardware o software, un servicio o un proceso). Por ciclo de vida del objeto se entiende todas las etapas por las que atraviesa este, desde su concepción hasta su retirada, pasando por las fases de desarrollo, puesta en producción, operación, mantenimiento y retirada. Más aun, implica que se tengan en cuenta, no sólo la aplicación de medidas de protección de la privacidad en las etapas tempranas del proyecto, sino que además se contemplen también todos los procesos y prácticas de negocio involucrados en el tratamiento de datos asociado, logrando así una verdadera gobernanza de la gestión de los datos personales por parte de las organizaciones.

El objetivo último es que la protección de datos esté presente desde las primeras fases de desarrollo y no sea una capa añadida a un producto o sistema. La privacidad debe formar parte integral de la naturaleza de dicho producto o servicio.

El RGPD establece la protección de datos desde el diseño como requisito legal de cumplimiento. El artículo 83 considera sancionable no atender esta obligación, al igual que su correcta aplicación constituye uno de los criterios para baremar la gravedad de una infracción. Es recomendable a tales efectos:

· Limitar el uso de los datos personales a la(s) finalidades para la(s) que fueron recogidos y asegurarse de que existe una base legitimadora del tratamiento.

· Ejecutar un análisis de los riesgos para los derechos y libertades de las personas y, en su caso, evaluaciones de impacto relativas a la protección de datos, como parte integral del diseño de cualquier nueva iniciativa de tratamiento.

· Asumir que pueden coexistir intereses diferentes y legítimos: los de la entidad y los de los usuarios a los que presta servicio; y que es necesario identificarlos, evaluarlos y balancearlos apropiadamente

Se imputa como vulnerado, el artículo 5.1 c) del RGPD, que determina:

"1. Los datos personales serán:

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);"

El RGPD consagra en su artículo 5 los principios básicos que han de tenerse en cuenta a la hora de realizar los tratamientos, de modo que estos seis principios (licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad) unidos al de responsabilidad proactiva (o accountability) se convierten en el núcleo de la norma y en el objetivo que todo sistema, aplicación, servicio o proceso debe garantizar en su diseño, además de los requisitos o requerimientos funcionales a satisfacer propios del sistema.

Sin obviar las competencias que persigue el CR, no se hace necesario que conozca los datos personales de las personas que acompañaba cada una a sus alegaciones; nombre y apellidos, DNI, dirección de correo electrónico, ya que no resultan imprescindibles, no son relevantes, adecuados, ni necesarios para la finalidad para lo que se necesitan las alegaciones. El hecho de conocer los datos personales no ayuda a conseguir la finalidad por la que existe el CR y ejerce sus funciones. Además, no se garantiza el derecho de esas personas al trasladarse esos datos a través de un soporte como memorias USB, cada una un soporte, no encriptado y susceptible de copiarse fácilmente y por tanto con salida de los datos fuera de la órbita del responsable del tratamiento con consecuencias indeterminadas para sus titulares.

Sobre la alegación de que los denunciantes forman parte del CR que obtuvieron los datos también para las funciones del mismo, se ha de indicar que el responsable del tratamiento de los datos en cuanto a su recogida y el que decidió efectuar copias en memorias USB es el reclamado y que este fue el que decidió sobre la finalidad de dichos datos, el medio y el fin, cuando se remiten a cada integrante del CR, como destinatario, con todos los datos y a través de la entrega en memoria USB, no siendo necesarios para la función que ejecutan.

El hecho de que los reclamantes formen parte del CR no es óbice para que puedan denunciar los hechos.

Destaca que, con dicha comunicación, se están restringiendo los derechos fundamentales de los afectados, sin que concurra proporcionalidad, en el sentido de que el objetivo propuesto puede ser alcanzado sin la comunicación de los datos personales, por ejemplo, disociando los datos. La medida tomada de copiar todo en las memorias USB no se acredita que sea necesaria, pues puede haber otras formas para la consecución del propósito con igual eficacia sin esta restricción del derecho que supone la comunicación de los datos. La medida de la comunicación con todos los datos personales a través de la memoria USB no resulta tampoco equilibrada, al no apreciarse más beneficios para el CR o el interés general que puedan predominar sobre los derechos de los titulares de los datos.

En este caso, se considera que el acceso a las alegaciones hechas por los ciudadanos, junto con los datos de cada autor de las mismas por el CR no debe contener los datos de carácter personal.

Se acredita así, la comisión de la citada infracción imputada.

V

El artículo 83.5 del RGPD indica:

"5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

b) los derechos de los interesados a tenor de los artículos 12 a 22;"

El artículo 83.7 del RGPD indica:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro".

El artículo 58.2 del RGPD dispone lo siguiente: "Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;"

El ordenamiento jurídico español ha optado por no sancionar con multa a las entidades públicas, tal como se indica en el artículo 77.1. c) y 2. 4. 5. y 6. de la LOPDDGG:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción."

El reclamado no ha aportado concreción sobre medida alguna para corregir la presente infracción, se desconoce si las memorias USB quedaron en poder del CR o si se va a solicitar su devolución, ni se sabe si ha tomado medidas con la finalidad de que infracciones similares vuelvan a producirse, pudiendo informar al respecto.

Sobre la alegación de la falta de tipificación, el RGPD no establece directamente la concreta tipificación de las infracciones, y es la LOPDGDD la que los menciona a efectos de prescripción.

Señala el artículo 72:

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.

h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE)2016/679 y 12 de esta ley orgánica."

Sobre la alegación de la falta de acreditación de culpabilidad, el artículo 28.1 de la ley 40/2015, de 1/10 de régimen jurídico del sector público, establece;

"1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa."

Desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. No se exige pues, la concurrencia de un ánimo deliberado de infringir la norma, con conciencia y voluntad de hacerlo. Por tanto, lo relevante es la diligencia desplegada en la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al mero resultado, es decir al principio de responsabilidad objetiva. El campo de la simple inobservancia es el clásico de la imprudencia o negligencia, en sus distintos grados. En este supuesto se aprecia y es suficiente la falta de diligencia, no exigiéndose un comportamiento imposible o de suma dificultad, teniendo en cuenta que están en juego derechos fundamentales, y siendo plenamente imputable al reclamado la conducta.

Por lo tanto, de acuerdo con la legislación aplicable,

La Directora de la Agencia Española de Protección de Datos

FALLO 

 

PRIMERO: IMPONER a AYUNTAMIENTO DE ICOD DE LOS VINOS, con NIF P3802200J, por una infracción del aartículo 5.1.c) del RGPD, y otra del artículo 13 del RGPD, conforme señala el artículo 83.5 del RGPD, una sanción de apercibimiento por cada infracción.

SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE ICOD DE LOS VINOS.

TERCERO : COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

CUARTO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.