Sanción a ayuntamiento por hacer público en Whatsapp datos personales de un empleado municipal


AEPD 24/09/2020

Se  interpuso reclamación contra un ayuntamiento por publicar en Whatsapp datos personales correspondientes a un procedimiento administrativo iniciado por un trabajador municipal sobre petición de abono de retribuciones y horas trabajadas.

La AEPD considera que estos hechos vulneran la normativa relativa al tratamiento de datos y, por ello, impone al ayuntamiento la sanción de apercibimiento y la obligación de indicar a la AEPD en el plazo de un mes las medidas adoptadas para evitar que incidentes similares puedan ocurrir en el futuro.

Agencia Española de Protección de Datos, Resolución, 24-09-2020

ANTECEDENTES 

 

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 11/12/2018, interpuso reclamación ante la Agencia Española de Protección de Datos contra B.B.B. ( AYUNTAMIENTO DE ÁLORA (en adelante, el reclamado).

Los motivos en que "habiéndose incorporado días atrás en un grupo de WhatsApp", el 21/11/2018 a las 22,26 se puede observar una entrada por parte del número ***TELÉFONO.1 , con nombre B.B.B., que se corresponde con la persona de B.B.B., Concejal de *** del ayuntamiento de Álora, el cual remite una captura de pantalla de una aplicación informatica del Ayuntamiento, denominada "Gestiona". Conteniendo datos sobre su solicitud presentada ese mismo día sobre las 13 horas. Manifiesta que su reclamación versaba sobre petición de abono de retribuciones y horas trabajadas.

Aporta:

1) - copia de escrito de 22/11/2018 dirigido al alcalde expresando los hechos sucedidos pidiendo se abra disciplinario contra dicha persona.

2) - copia impresa en la que se ven fotografías del WhatsApp, mensajes del Grupo Psoe Álora.

-22,25 Pero está arriba.

-22,26 Reenviado figura el número que identifica el reclamante, asociado a B.B.B. con la captura de una imagen de una aplicación informatica con los datos del reclamante. En la ampliación figura "solicitud computar jornada como deben corresponder y abono de 9369,73, 21/11/2018."

-22, 28Cuidado con el *** q es de lo mejorcito que tenemos.

-22,28 B.B.B. A mí no preguntarme que no tengo ni idea....

-22,33 Claro que está hay esta subido 7 escalones.

En la visualización de la captura de pantalla se leen los datos del reclamante , el número de registro y hora, y en solicitud "solicitud computar jornadas como deben corresponder y abono de 9.369,73.

SEGUNDO: A la vista de los hechos manifestados, se trasladó el 15/01/2019 la reclamación al reclamado, Ayuntamiento de Álora, para que informara:

1. Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.

2. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.

3. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.

4. Cualquier otra que considere relevante.

El envío aparece recibió el 16/01/2019, si bien no se recibió respuesta a la petición.

TERCERO: Con fecha 18/03/2019, la Directora de la AEPD acuerda la admisión a trámite de la reclamación.

CUARTO: Con fecha 4/11/2019, la Directora de la Agencia Española de Protección de Datos acordó:

"PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR al AYUNTAMIENTO DE ÁLORA, por la presunta infracción del artículo 5.1.f) del RGPD, conforme a lo dispuesto en el art. 83.5 del citado RGPD.

SEGUNDO: INICIAR PROCEDIMIENTO SANCIONADOR al AYUNTAMIENTO DE ÁLORA, por la presunta infracción del artículo 25.2 del RGPD, conforme a lo dispuesto en el art. 83.4 del citado RGPD."

QUINTO: Notificado el citado acuerdo de inicio, el reclamado presentó escrito de alegaciones el 25/11/2019 en el que, en síntesis, manifestaba:

-En el curso del traslado de la reclamación sí que aportaron su respuesta. Aportan copia de la misma, que se trata de un documento con fecha de salida, sello del Ayuntamiento 26/03/2019 núm. ***NÚMERO.1 destinatario la agencia, acompañado de papel acuse de recibo rosa dirigido a la agencia, correo certificado, con el literal secretario Incautación garantía definitiva registro de entrada 29/03/2019 fecha y hora de entrada con el sello del 28/03.

-Indica el escrito en el que figura ASUNTO "incautación garantía definitiva" que la alcaldía tuvo conocimiento de los hechos denunciados por escrito presentados por el mismo reclamante en ese Ayuntamiento el 22/11/2018 , y a los pocos días mantuvo una reunión con él. Le hizo saber que hasta ese mismo momento desconocía los hechos denunciados como presunta actuación del concejal. Le manifesté que está presunta actuación de esa corporación, B.B.B., era imputable al mismo, dentro de su esfera privada o particular, "al margen de mi persona tanto física como alcalde del municipio". Le informó que "desconocía la forma o método mediante la cual el Concejal obtuvo esa imagen, la cual subió y compartió con el resto de los miembros del grupo", producto de su libre actuación, y presuntamente desde su propio teléfono móvil por lo que en cuanto alcalde "no puedo adoptar medidas disciplinarias o de otra índole contra el concejal". Manifiesta que el grupo WhatsApp estaba formado por vecinos, así como otros cargos electos del Ayuntamiento del grupo municipal PSOE.

-también señala que a la fecha carece de persona para desempeñar el puesto de Delegado de Protección de Datos, y consta enviado escrito a la Diputación Provincial de Málaga el 12/02/2019 de cooperación y asistencia.

SEXTO: Con fecha 29/05/2020 el instructor del procedimiento acordó la apertura de un período de práctica de pruebas, teniéndose por incorporadas la reclamación interpuesta y su documentación, los documentos obtenidos y generados por la Subdirección General de Inspección. Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio presentadas por el reclamado y la documentación que a ellas acompaña.

Además, se decide solicitar al reclamado que informe sobre las siguientes cuestiones o aporte los siguientes documentos.

1) Sobre la solicitud del reclamante que figura en la aplicación GESTIONA, solicitud computar jornada como deben corresponder y abono de 9369,73, 21/11/2018. Aporten copia de dicha solicitud, y señalen la materia sobre la que versa o fue clasificada, quien le respondió a su petición, e indiquen si Educación y Juventud tenía alguna competencia sobre el asunto.

Con fecha 18/06/2020 se recibe la respuesta, aportando copia de la instancia del reclamante de entrada en el Ayuntamiento de 21/11/2018 en la que solicita durante todo el plazo no prescrito de cuatro años unas diferencias salariales en relación con la jornada que manifiesta realizó, con un total de 9.369,73 euros. Informa que la concejalía de educación y juventud no tenía competencias sobre la materia qué versaba la solicitud o reclamación

2) Sobre la aplicación GESTIONA, que almacena y trata los escritos que tramita el AYUNTAMIENTO, se le pide que informe si todos los Concejales tenían y tienen acceso a toda la aplicación GESTIONA, sus contenidos, registros de entrada y contenidos de escritos, sea cual sea el asunto, o si han de solicitar la petición por escrito sobre los puntos concretos que necesiten conocer.

Contestó que no todos los Concejales tenían acceso a toda la aplicación GESTIONA, que sólo podían acceder a los expedientes relacionados con sus Áreas o Concejalías, así como a los registros de entrada igualmente vinculadas con sus cometidos sin que fuera para ello necesario solicitarlo expresamente por escrito.

3) Si ese Ayuntamiento ha entregado o entregó a los Concejales teléfonos móviles u otros dispositivos para el ejercicio de sus competencias.

Señala que el Ayuntamiento entregó a los Concejales de la Corporación 2015/2019 tanto teléfonos móviles como dispositivos Tablet para el ejercicio de sus competencias.

4) Si a los Concejales que pueden o pudieron acceder a dicha aplicación que contiene datos de carácter personal, se les ha instruido sobre el uso, custodia y reserva de dichos datos, que pertenecen al reclamado, titular y responsable del tratamiento. Modo en que se hizo o en que se hace, acreditándolo.

Manifiesta que no se realizó formación expresa en materia de protección de datos a los Concejales de la Corporación 2015/2019. En la actualidad sí se han realizado distintas actuaciones formativas para Concejales y personal municipal a cargo del Delegado de Protección de Datos.

5) Modo de acceso a la aplicación GESTIONA. Si a B.B.B. se le proporcionó contraseña y usuario, fechas entre la que estuvo operativo su acceso. Si tenía acceso a todos los contenidos de todos los expedientes. Motivos. Indique que autoridad o responsable determinaba que personas y en función de que título accede o accedió a dicha aplicación.

Se informa que el Concejal B.B.B., al igual que el resto de Concejales y empleados municipales, tenía asignado su correspondiente usuario y contraseña para el acceso a la plataforma GESTIONA, y ello durante la fecha de duración de mandato corporativo (2015/2019), y únicamente en relación a los expedientes relacionados o vinculados con su Concejalía (no todos los expedientes), siendo el Alcalde (en la actualidad recae dicha condición en distinta persona, consecuencia de las últimas elecciones) quien otorgaba a los Concejales las facultades concretas de todas las que permitía la aplicación GESTIONA, y ello en función a que estuviesen relacionadas con los cometidos propios de su Área o Concejalía.

6) Sobre el contenido que fue expuesto en WhatsApp que a ustedes les consta porque se les trasladó al reclamación, se les solicita que informen cual era el menú o la aplicación que aparece en la foto, si es del registro de entrada o a que parte de la aplicación pertenece y pasos que se han de dar para que un usuario logre acceder a dicha imagen. También se les cuestiona si del acceso a la aplicación es capaz de extraer que usuarios han accedido en un día y una hora determinada.

Manifiesta que parece tratarse del registro de entrada presentado en un determinado día, donde se constata que el 21/11/2018 a las 14:14 se registró un escrito con nº de orden ***NÚMERO.2 presentado por el reclamante. Para acceder a dicha información o imagen, el usuario (empleado o Concejal) debe acceder a la aplicación GESTIONA mediante su usuario y contraseña, y una vez ello a la "pestaña" registro de entrada, buscarla o localizarla por fecha de entrada o por usuario (interesado que la presenta), "siempre y cuando tuviese el Concejal facultades expresas para ello", no disponiendo de la información sobre las personas que accedieron (día y hora) a la información (sin perjuicio que en su caso dicha información pudieran facilitarla la empresa propietaria de la aplicación GESTIONA, denominada ESPUBLICO).

7) Se informa que se incorpora al procedimiento, por guardar relación con el asunto el Dictamen emitido por la AGENCIA VASCA DE PROTECCION DE DATOS obtenido en la web, de 31/03/2016, Cn16-006 , relativo a las solicitudes de acceso de los concejales a los registros de entradas y salidas del ayuntamiento.

SÉPTIMO: Se emite propuesta de resolución el 30/06/2020 con el literal:

"Que por la Directora de la Agencia Española de Protección de Datos se sancione con apercibimiento al AYUNTAMIENTO DE ÁLORA, con NIF P2901200B, por las infracciones de los artículos:

- 5.1.f) del RGPD, de conformidad con el artículo 83.5.a) del RGPD.

- 25.2 del RGPD, de conformidad con el artículo 83.4 a) del RGPD

HECHOS PROBADOS

1) El reclamante formaba parte de un grupo de WhatsApp, denominado "Grupo ***GRUPO.1" y el 21/11/2018, 22:26, desde la línea ***TELÉFONO.1 que corresponde a "B.- B.B.", se envió un mensaje con una captura de pantalla que contenía sus datos personales. Esos datos se corresponden con un escrito que el reclamante había presentado en el registro general de entrada del Ayuntamiento esa misma mañana. Manifiesta el reclamante que el remitente es B.B.B., Concejal de educación del Ayuntamiento de Álora.

2) Los empleados municipales y los Concejales del ayuntamiento de Álora pueden acceder a la aplicación de gestión informática digital de expedientes administrativos del Ayuntamiento, GESTIONA, que no es titularidad de la reclamada, sino de una entidad denominada ESPUBLICO con la que el Ayuntamiento contrató su implantación. El acceso a la plataforma se hace mediante claves de usuario y contraseña. Según manifiesta el reclamado, los Concejales acceden a dicha aplicación a los expedientes del ramo del que son titulares.

3) La imagen que se contenía en el WhatsApp correspondía a la pantalla de la aplicación, GESTIONA, registro de entrada. Para acceder a ella, además de identificarse con usuario y contraseña, en la pestaña de registro entrada, se puede buscar y localizar por fecha de entrada o por usuario datos de la persona que la presente.

4) De acuerdo con lo que manifiesta el reclamado en el momento de la presentación de su escrito por el reclamante, B.B.B. tenía competencias sobre el asunto referido en la reclamación de retribuciones y jornada que el reclamante instó ante el Ayuntamiento.

5) No consta que a B.B.B. se le informara por el reclamado del uso de la aplicación GESTIONA en cuanto a materia y repercusiones de protección de datos cuando suceden los hechos. A partir del nombramiento y designación del delegado de protección de datos (se hizo la petición a la Diputación el 12/02/2019) y en el periodo de pruebas, la reclamada indica que se están llevando a cabo acciones formativas en protección de datos al personal municipal y a Concejales.

6) Se deduce de lo manifestado por el Ayuntamiento que continua el sistema de acceso a la aplicación informatica de gestión de expedientes por parte de los Concejales.

FUNDAMENTOS DE DERECHO I 

 

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

El RGPD define en su artículo 4:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;"

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

4) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

El documento presentado por el reclamante en el Ayuntamiento contiene datos cuyo responsable de gestión y custodia es el Ayuntamiento y su carácter y destino no son la difusión para conocimiento de terceros. El Ayuntamiento como responsable del personal que tiene acceso a dicho documento, y responsable del citado tratamiento ha de poner los medios y medidas para que todo su personal conozca y cumpla las responsabilidades en el manejo de datos personales, tenga acceso solo el personal asignado, y dentro de las medidas técnicas y organizativas en el tiempo de su despacho y tras el mismo.

El escrito presentado por el reclamante como un asunto a gestionar, es susceptible de identificar a su firmante a través de los datos que se contienen y lo relaciona en cuanto a la materia, con la clasificación de su petición.

El documento iba dirigido al ayuntamiento de Álora. A la aplicación informatica de gestión de expedientes GESTIONA el reclamado permitía acceder a los Concejales, según indica solo a los asuntos del ramo de gestión de cada uno, aunque no detalla como discriminar tales accesos.

Para acceder a la imagen que fue enviada por WHATSAPP objeto de la reclamación, se accedía a través de contraseña y usuario y en la pestaña de registro de entrada se podía hacer la búsqueda o por día.

En cuanto a la cuestión de la habilitación en el tratamiento que pueda o no tener un Concejal por el hecho de serlo, para que tenga acceso a la aplicación informatica de gestión de expedientes del ayuntamiento reclamado y como menciona el informe de la Agencia de protección de datos vasca, Cn16-006 , relativo a las solicitudes de acceso de los concejales a los registros de entradas y salidas del ayuntamiento, :"El análisis de esta cuestión implica valorar la tensión existente entre el derecho de participación en los asuntos públicos reconocido en el artículo 23 de la Constitución y el derecho a la privacidad de los ciudadanos, derecho fundamental extraído del artículo 18.4 del Texto Constitucional. Esta cuestión ha sido ya analizada por la Agencia Vasca de Protección de Datos en diferentes dictámenes, cuya doctrina intentaremos resumir.

El artículo 23 anteriormente citado consagra el derecho de los ciudadanos a participar en los asuntos públicos, directamente o por medio de representantes, libremente elegidos en elecciones periódicas por sufragio universal.

El artículo 77 de la Ley de Bases del Régimen Local establece:

"Todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función.

La solicitud de ejercicio del derecho recogido en el párrafo anterior habrá de ser resuelta motivadamente en los cinco días naturales siguientes a aquél en que se hubiese presentado".

El desarrollo que de dicho artículo se contiene en el Real Decreto 2568/1986, de 28/11 por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales (ROF), artículos 14 a 16. La misma mención a la necesidad de la información para el desarrollo de las funciones del concejal se contiene en el artículo 14.1:

"1. Todos los miembros de las Corporaciones Locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función".

En el artículo 15 se establece la obligación de facilitar la información a los concejales cuando se trate de corporativos que ostenten delegaciones o responsabilidades de gestión, y la información sea propia de las áreas correspondientes; también se obliga a ceder a los concejales la información y documentación correspondiente a los asuntos que hayan de ser tratados por los órganos colegiados de que formen parte, así como a las resoluciones o acuerdos adoptados por cualquier órgano municipal y, por último, aquella información que sea de libre acceso para los ciudadanos.

Finalmente, en el artículo 16 se regula con detalle el procedimiento de consulta y examen de expedientes, libros y documentación en general.

El derecho de información de los concejales aparece estrecha y directamente relacionado con "el desarrollo de su función", y muy especialmente, en los términos del artículo 22.2 a) de la propia LBRL, con las funciones de "control y fiscalización de los órganos de gobierno". Es dicha labor la que, "no solo ampara el derecho de información, sino que impone el deber de conocimiento de los datos que han de ser previos a lapropuesta, discusión y decisión en la reunión del Pleno de la Corporación" (STS de 7 de diciembre de 1988), porque la "esencia de la petición de información está en el control natural de la acción de gobierno que deben realizar los concejales" (STS de 27 de junio de 1988).

El derecho fundamental de participación política artículo 23 CE perdería toda su eficacia si el ejercicio del cargo resultara mediatizado o impedido arbitrariamente a través de la denegación de la información necesaria, pero tampoco se le puede dar un acceso por defecto a todos los datos en todos los ámbitos de partida como puede ser el acceso a los sistemas de información de gestión de expedientes, ya que el citado derecho es un derecho de configuración legal.

De la lectura del precepto se puede extraer que es un derecho a obtener información, la que en cada momento resulte precisa para el desarrollo de su función, estructurado en un procedimiento basado en solicitud previa y la resolución posterior. El escrito del reclamante se difunde el mismo día que tuvo entrada en el registro de la sede del ayuntamiento.

Debe recordarse asimismo el principio general de tratamiento de datos el de «minimización de datos "que establece el artículo 5.1.c del RGPD que los datos personales serán:" adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados"

La Ley de bases del régimen local no prevé por tanto un acceso indiscriminado a la información municipal, que es lo que participa el reclamado con los Concejales, pues si bien estos representan a los ciudadanos del municipio, no por ello han de tener acceso permanente a todos sus datos en cualquier momento. Podrían tener el acceso a la información y a los datos de la manera expresada, para lo cual no se precisaría el consentimiento de sus titulares, pero siempre contemplando la minimización de los datos, sin tener porque acceder al contenido como número de teléfono, dirección, por no resultar necesario entre otras cuestiones para dicha labor, más aún si la materia no le corresponde al ramo sectorial que gestiona el concejal.

El Registro de entrada tiene una conexión evidente con la tramitación de los procedimientos administrativos que se sigan en el Ayuntamiento siendo por lo tanto una de sus principales finalidades la de servir a su correcta tramitación. Su finalidad instrumental, vinculada a la gestión de los documentos que entran y salen de la entidad local y a la seguridad jurídica del tráfico administrativo, no le conecta con el propósito específico de control político.

Por otra parte, en los asientos registrales pueden incluirse datos de carácter personal de toda índole, como los de categoría especial: salud, o relativos a afiliación sindical o documentos que ni siquiera se dirijan a la Administración receptora, sino que estén destinados a otra Administración Pública.

La necesidad de ponderación está presente también en las normas que regulan el acceso a la información pública; así, la Ley 19/2013, de 9/12, de transparencia, acceso a la información pública y buen gobierno, al regular el derecho de acceso o transparencia pasiva, recoge la necesidad de ponderación en el artículo 15.3, aun tratándose de datos no especialmente protegidos. Es cierto que el derecho de los concejales de acceder a la información puede ser un derecho cualificado respecto al de los ciudadanos en general, noobstante, esta facultad no puede implicar un acceso automático a la información total y en todo momento por la falta de correlación y desproporcionalidad que se otorga a ese tipo de acceso.

La reclamada proporcionó acceso al concejal que obtiene el dato. La reclamada además no había informado ni a su personal ni a los concejales de las limitaciones de uso de los datos a los que accede.

El acceso a dicho documento es posible dado que el reclamante autoriza como usuario del sistema de entradas y salidas del registro a un Concejal del Ayuntamiento, cargo que se halla en el seno de la organización del responsable del tratamiento.

Se estima así que el reclamado ha infringido el artículo 5.1.f) del RGPD que indica 1. Los datos personales serán:

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

A lo que cabe añadir el apartado dos del artículo 5 que indica:

"2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)."

Obligación que se modaliza en el artículo 5 de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), que precisa:

"1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679 .

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento."

III

Por otro lado, se imputa al reclamado la infracción del artículo 25.2 del RGPD, que especifica el tratamiento de datos establecido por defecto, que indica:

"2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas."

Y en el artículo 28.2 de la LOPDGDD:

"2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales."

El reclamado no ha perfilado ni ha analizado las necesidades reales de acceso a la información de los concejales en el acceso a los datos con las funciones concretas de control especifico que le atribuye la normativa.

Debería haber limitado los accesos generales a la base de datos de gestión de expedientes de los concejales, dado que no es preciso el contacto permanente con dichos datos y accesos, y haberse establecido así por defecto en el sistema.

El establecimiento de estas medidas se encamina a la salvaguarda de los derechos individuales, siendo pues su óptica distinta de la infracción del principio e establecido en el artículo 5.1.f del RGPD. Existe como se acredita en el presente supuesto el acceso a una base de gestión de expedientes con el riesgo de uso interesado por terceros, así pues, en el momento en que se inicia el tratamiento se han de considerar los temas de protección de datos y la adopción de medidas que se adecuan a lo establecido en estos principios de tratamiento de datos por defecto, considerando además que es una entidad pública, y deduciéndose que los accesos a la aplicación continúan en la actualidad.

IV

El artículo 83.5 a) del RGPD, considera que la infracción de "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9"es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, con multas administrativas de 20.000.000 Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía."

El artículo 83.4 a) del RGPD, indica: "Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10. 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

"las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43".

V

El artículo 83.7 del RGPD indica:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro"

El artículo 58.2 del RGPD indica: "Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado".

El ordenamiento jurídico español ha optado por no sancionar con multa a las entidades públicas, tal como se indica en el artículo 77.1. c) y 2. 4. 5. y 6. de la LOPDDGG: "1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción."

Por lo tanto, el responsable del tratamiento, Ayuntamiento de Álora, estando el Concejal integrado en el mismo por su condición de miembro, que es, a su vez, el órgano de gobierno y administración del municipio y para el que es elegido "mediante sufragio universal, libre, directo y secreto" de los vecinos. Por el desempeño de sus funciones, en este caso, estaba autorizado su acceso a las bases de datos del sistema de gestión de expedientes, sin que estuviera adecuadamente organizado el sistema de acceso a dicha aplicación, de acuerdo con el RGPD y la LOPDGDD.

Como medida correctora se hace preciso que la reclamada no otorgue acceso indiscriminado a todas las entradas de escritos a todos los Concejales, y se articula conforme determina la normativa examinada, instruyendo expresamente del uso de los datos a los que tengan acceso.

Por lo tanto, de acuerdo con la legislación aplicable y acreditadas las infracciones, la Directora de la Agencia Española de Protección de Datos

RESUELVE: 

 

PRIMERO: IMPONER al AYUNTAMIENTO DE ÁLORA, con NIF P2901200B, por una infracción del aartículo 5.1.f) del RGPD, de conformidad con el artículo 83.5 a) del RGPD, una sanción de apercibimiento.

SEGUNDO: IMPONER al AYUNTAMIENTO DE ÁLORA, con NIF P2901200B, por una infracción del artículo 25 2 del RGPD, de conformidad con el artículo 83.5 a) del RGPD, una sanción de apercibimiento.

TERCERO: Considerando que el artículo 58.2.d) del RGPD faculta a la autoridad de control a: "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado", se le insta al reclamado que aporte en el plazo de un mes a la recepción de esta resolución, detalle las medidas organizativas y técnicas para que materialización de otra infracción como la analizada sea de difícil realización. Como indicación a adoptar, valen las sugeridas en la presente resolución.

CUARTO : NOTIFICAR la presente resolución al AYUNTAMIENTO DE ÁLORA.

QUINTO : COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

SEXTO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,> o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1/10. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.