Sanción a ayuntamiento por no acreditar el cumplimiento de las medidas impuestas por la AEPD


AEPD 12/08/2024

Se presenta escrito por un particular solicitando el cumplimiento de una resolución de la AEPD dictada en un procedimiento sancionador incoado contra un ayuntamiento en la que se concedía a este el plazo de diez días hábiles para atender el ejercicio del derecho de acceso solicitado por el particular.

Dado que en el momento del inicio del procedimiento sancionador no se había dado cumplimiento a la resolución, al no acreditarse ante la Agencia que se hubiera proporcionado respuesta al derecho de acceso, a pesar de ser expresamente ordenado en la resolución, y habérsele requerido en diversas ocasiones, se considera que el ayuntamiento ha incumplido la resolución de la AEPD y se declara que ha infringido lo dispuesto en el art. 58.2 RGPD, infracción tipificada en el art. 83.6 RGPD, resultando irrelevante la alegación del ayuntamiento relativa a la determinación del sujeto obligado, pues dicha cuestión podía haber sido planteada en el inicial procedimiento de ejercicio de derechos o en el correspondiente recurso al mismo. La resolución es firme y ejecutiva, y debe ser cumplida en sus propios términos, no pudiendo admitirse alegaciones que pretendan la revisión de la misma.

Agencia Española de Protección de Datos, Resolución, 12-08-2024

 

Número de documento: EXP202313756

Fecha de documento: 12/08/2024

Sectorial: Administración Pública y defensa; Seguridad Social obligatoria

Artículo infringido: Reglamento General de Protección de Datos

 

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

 ANTECEDENTES

ANTECEDENTES

 

PRIMERO: Con fecha 17 de abril de 2023, por la Directora de la Agencia Española de Protección de Datos se dictó resolución en el procedimiento de ejercicio de derechos del expediente número EXP202212375, seguido contra el AYUNTAMIENTO DE ÁVILA (en adelante, el Ayuntamiento).

En dicho expediente, consta que la parte reclamante ejerció su derecho de acceso de los datos personales que le conciernen, sin que dicha solicitud resultara debidamente atendida, dictándose resolución en la que se requería lo siguiente:

“PRIMERO: ESTIMAR la reclamación formulada por A.A.A. e instar al AYUNTAMIENTO DE ÁVILA, con NIF P********, para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación por la que se atienda el derecho de Acceso ejercido o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en el cuerpo de la presente resolución. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de una infracción del artículo 83.6 del RGPD, calificada como muy grave a los efectos de prescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdo con el art. 58.2 del RGPD.”

SEGUNDO: La resolución del procedimiento de ejercicio de derechos, en la que se concedía al Ayuntamiento el plazo de diez días hábiles para la atención del ejercicio del derecho de acceso, se notificó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) mediante notificación electrónica, siendo recogida por el responsable con fecha 17 de abril de 2023, como consta en el acuse de recibo que obra en el expediente.

TERCERO: Con fecha 12 de mayo de 2023 y número REGAGE23e00030406078, se registra de entrada respuesta del Ayuntamiento en la que se manifiesta que se instó “a los interesados a que podían acceder a toda la información a través del expediente correspondiente de la solicitante, es decir, la Gerencia de Servicios Sociales de Ávila.” No obstante, el Ayuntamiento no indicó a esta Agencia que hubiera remitido a la parte reclamante certificación por la que se hubiese atendido el derecho de acceso ejercido o se hubiese denegado motivadamente.

CUARTO: Una vez transcurrido el plazo otorgado para que se realizaran las actuaciones requeridas en la resolución del procedimiento de ejercicio de derechos sin que en esta Agencia se haya tenido constancia de éstas, y habiendo recibido escrito de la parte reclamante, registrado de entrada con fecha 31 de mayo de 2023 y número REGAGE23e00034533983, solicitando el cumplimiento de la resolución, con fecha 2 de junio de 2023 y número de registro de salida REGAGE23s00035239074, se envía requerimiento al Ayuntamiento para que, en el plazo de cinco días hábiles, remita a la parte reclamante certificación del cumplimiento de la resolución indicada y, en el plazo de diez días hábiles, notifique a esta Agencia las medidas adoptadas.

La notificación de dicho requerimiento se practicó conforme a las normas establecidas en la LPACAP mediante notificación electrónica, siendo recogida por el responsable con fecha 2 de junio de 2023, como consta en el acuse de recibo que obra en el expediente.

QUINTO: Con fecha 8 de junio de 2023 y número REGAGE23e00037060814, se registra de entrada respuesta del Ayuntamiento en la que se manifiesta que “desde esta Jefatura nos hemos puesto en contacto telefónicamente con el interesado, D. A.A.A., al que también nos hemos dirigido por vía telemática, comunicándole que está a su disposición en esta Jefatura, vista del expediente solicitado.” A pesar de esta manifestación, en esta entrada el Ayuntamiento no acredita por ningún medio haber atendido el derecho de acceso ejercido en los términos establecidos por la normativa.

SEXTO: Una vez transcurrido el nuevo plazo otorgado para que se realizaran las actuaciones requeridas en la resolución del procedimiento de ejercicio de derechos sin que en esta Agencia se haya tenido constancia de éstas, y habiendo recibido nuevo escrito de la parte reclamante con fecha 21 de junio de 2023 y número REGAGE23e00040605621, solicitando el cumplimiento de la resolución, con fecha 30 de junio de 2023 y número de registro de salida REGAGE23s00043251748, se vuelve a requerir al Ayuntamiento para que, en el plazo de cinco días hábiles, remita a la parte reclamante certificación del cumplimiento de la resolución indicada y, en el plazo de diez días hábiles, notifique a esta Agencia las medidas adoptadas. En este nuevo requerimiento, se recordaba al Ayuntamiento que debía dar cumplimiento al derecho de acceso en los términos del artículo 15 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), el cual se reproducía literalmente, puesto que la documentación que había sido presentada hasta la fecha ante esta Agencia no cumplía con lo preceptuado en dicho artículo.

La notificación de dicho requerimiento se practicó conforme a las normas establecidas en la LPACAP mediante notificación electrónica, siendo recogida por el responsable con fecha 30 de junio de 2023, como consta en el acuse de recibo que obra en el expediente.

SÉPTIMO: Transcurrido el plazo de la resolución inicial y de los sucesivos requerimientos, el Ayuntamiento no ha remitido respuesta a esta Agencia que acredite que ha atendido el derecho de acceso ejercido, o en su caso, que lo ha denegado motivadamente indicando las causas por las que no procede atender la petición.

OCTAVO: Contra la citada resolución no cabe ningún recurso ordinario en vía administrativa por el transcurso de los plazos establecidos para ello. Asimismo, el interesado no ha manifestado su intención de interponer recurso contencioso-administrativo, ni esta Agencia tiene constancia de que el mismo se haya interpuesto y se haya solicitado suspensión cautelar de la resolución.

NOVENO: Con fecha 18 de octubre de 2023, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al Ayuntamiento, con arreglo a lo dispuesto en los artículos 63 y 64 de la LPACAP, por la presunta infracción del Artículo 58.2 del RGPD, tipificada en el Artículo 83.6 del RGPD.

DÉCIMO: El citado acuerdo de inicio fue recogido por el Ayuntamiento con fecha 20 de octubre de 2023, como consta en el acuse de recibo que obra en el expediente.

UNDÉCIMO: Con fecha 3 de noviembre de 2023 y número de registro de entrada REGAGE23e00074850702, el Ayuntamiento presenta escrito de alegaciones al acuerdo de inicio en el que, respecto al cumplimiento de la resolución del procedimiento de ejercicio de derechos del expediente número EXP202212375, manifiesta lo siguiente.

El Ayuntamiento afirma que no ha existido conducta obstructiva o evasiva hacia la Agencia Española de Protección de Datos porque “el día 10/05/2023 (…) se remitió a dicho organismo desde la Secretaría del Excmo. Ayuntamiento de Ávila informe de Jefatura de Policía Local de Ávila y contestación del responsable del Tratamiento de los datos del Excmo. Ayuntamiento de Ávila (…) que acreditaban de forma nítida el cumplimiento de las obligaciones que satisfacían el derecho de acceso a la información manifestado por el interesado.

Desde este momento se inició una relación orientada a ofrecer a la Agencia las evidencias de que realmente se había cumplido con el trámite exigido: así, el día 02/06/2023, la Agencia requirió al Ayuntamiento certificación del cumplimiento de la resolución dictada en esta fecha comunicando las medidas adoptadas en cumplimiento del requerimiento efectuado (…). El día 08/06/2023 se remitió a la Agencia Española de Protección de Datos, escrito en el que se comunicaba que la Jefatura de la policía local se había puesto en contacto telefónicamente con el interesado, D. A.A.A., también se hizo por vía telemática, poniendo a su disposición el expediente solicitado. (…).

El día 08/06/2023 se remite por parte de la Jefatura de Policía Local, escrito dando cumplimiento a la resolución dictada por la AGENCIA ESPAÑOLA DE DATOS en la que se comunica al interesado D. A.A.A., la puesta a su disposición, en cumplimiento del art. 15 del Reglamento (UE) 2016/679 del Parlamento Europea y del consejo, la vista del expediente solicitado; significando que si deseaba obtener copia del mismo, deberá acreditar previamente el abono de las tasas establecidas en las Ordenanzas Municipales. (…), es decir, en todo momento se suministró información al interesado, y una vez pagó las tasas, se le entregó la información requerida (…).”

El Ayuntamiento declara que no ha vulnerado los derechos de los interesados comparecientes en el expediente inspector iniciado por la Consejería de Familia de la Junta de Castilla y León y que “el interesado (a pesar de no presentar documento privado con firma legitimada notarialmente o documento público que le permitiese actuar en nombre y representación de su madre y su hermana, presentando únicamente un escrito firmado por ambas), desde el primer momento ha dispuesto de toda la documentación que obraba en poder de la Policía Local, siendo remitida a la Consejería de Familia e Igualdad de Oportunidades.

Aunque huelga decirlo, por obvio, este ayuntamiento no es la Administración encargada de la tramitación de los expedientes de los que toma causa este procedimiento, actuando exclusivamente en colaboración con la Administración sustantiva que tiene la competencia material sobre la materia, esto es, la Consejería de Familia e Igualdad de Oportunidades de la Gerencia Territorial de servicios Sociales de Ávila a través de la Sección de Familia.

Debe hacerse constar lo señalado por el responsable del Tratamiento de Datos del Ayuntamiento de Ávila (…):

“- La solicitud del informe por parte de los Servicios Sociales de la JCYL (el 16 de junio de 2021) era en relación al domicilio habitual de Dª. B.B.B., solo constando el nombre de D. A.A.A. en el mismo para hacer constar su lugar de empadronamiento.

- Existe contestación a todo lo señalado por el reclamante por parte del responsable del tratamiento de los datos del Excmo. Ayuntamiento de Ávila con NRS 2022/10144 de fecha 8 de abril de 2022 a Dª. B.B.B.. D. A.A.A., el reclamante, autorizó previamente (el 29 de julio de 2021) a Dª B.B.B. para (..) encargue relacionado con diferentes procedimientos administrativos.

- Del reclamante D. A.A.A. una vez verificados los gestores de expediente de la Secretaría de esta Corporación, no consta la elaboración de un perfil ni que sea objeto de decisiones individuales automatizas.

- No obstante, y en aras a una mayor transparencia, se emitió nuevo informe por parte de la Jefatura de Policía Local de Ávila, emitido el 5 de mayo de 2023 cuyo contenido se adjunta””.

El Ayuntamiento afirma que “nunca se ha negado a facilitar la información a los interesados, puesto que como consta en la documentación adjunta, ha sido la policía local el servicio que ha realizado las indagaciones y emitido los sucesivos informes que acreditaban lo hecho, identificando el proceso inspector que originó su actuación, así como el número de identificación de los agentes actuantes, lo que nos conduce inequívocamente a que nada se ha omitido, ni se ha infringido precepto alguno, no pudiéndose sancionar a este Ayuntamiento por un tipo infractor que no se ha cometido.

Esta conclusión es debida puesto que la policía local ha inspeccionado e informado de lo realizado, cumpliendo con la exigencia de transparencia exigida, motivo por el cual, este Ayuntamiento no ha vulnerado derecho alguno del particular denunciante, sino que, producida su solicitud, el suministro de la información por el servicio de la Policía Local se realiza en el marco de la colaboración debida con la administración autonómica, que requiere unos datos que se la facilitan, y, en consecuencia, resuelve un procedimiento sectorial de cobro de pensión, lo que, no satisfaciendo los intereses de la ciudadana interesada, provoca una actuación contra este Ayuntamiento, que resulta exagerada, dicho sea, en estrictos términos de defensa.

Este Ayuntamiento en su funcionamiento diario conoce que la transparencia, el acceso a la información pública y las normas de buen gobierno, son los ejes fundamentales de toda acción política, puesto que permite someter a escrutinio la acción de los responsables públicos, permitiendo a los ciudadanos conocer cómo se toman las decisiones que les afectan, cómo se manejan los fondos públicos o bajo qué criterios actúan nuestras instituciones, lo que favorecerá que aquéllos comiencen a responder a una sociedad que es crítica, exigente y que demanda participación en asuntos públicos.

Esto significa, entre otras cosas, que el ciudadano o el interesado en un procedimiento concreto, tienen derecho de acceso a la información pública partiendo de la previsión contenida en el artículo 105.b) de nuestro texto constitucional, y en los art. 13 y 53 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas. Como veremos a continuación

Este ayuntamiento ha delimitado ese derecho de acceso, a documentos contenidos, tanto en procedimientos administrativos ya terminados, como en procedimientos no concluidos, excluyéndose de ese derecho, documentos confidenciales de acuerdo las normativas sectoriales, y a material instrumental que se utiliza como soporte de las resoluciones adoptadas. Todo lo demás se proporciona al interesado o bien, incorporándole como interesado en la aplicación informática GESTDOC, o facilitándole la documentación solicitada en formato papel, previo pago de tasas, lo que se ha hecho en este expediente.”

El Ayuntamiento indica que ha actuado en todo momento guiado por un deber de colaboración administrativa, desplegado en el artículo 140 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público, en el que, en todo momento, el contenido de los informes se infiere de la propia constatación física de residenciar o no en un domicilio de este municipio. En este caso, dice, el Ayuntamiento facilitó a la consejería la certeza comprobada in situ, acerca de “quiénes vivían en el domicilio” referido por la consejería de familia. No se ha desvelado, añade, dato alguno que no fuese facilitado por la propia solicitante, y por la administración autonómica actuante.

El Ayuntamiento recuerda que “En la Resolución del Resolución 13/2018 del Consejo de Transparencia, Acceso a la Información Pública y Buen Gobierno de la Comunidad Valenciana de 15 de febrero de 2018 (Exp. 24/2017) se señala en su FJ-5: “Aunque pueda resultar una obviedad, puede entenderse que el derecho de acceso a la información da derecho a ser informado de la existencia o no de la información o documentos solicitados. Ello puede considerarse implícito del artículo 20.3° o del artículo 18.1° d y 20 de la LTBG 19/2013”. Entendemos que la información se les ha suministrado correctamente, no habiendo hurtado su derecho de acceso. La propuesta de esta Agencia, aparentemente desoída por este Ayuntamiento, no debe ser penalizada por entender que ya estaba todo resuelto, habiendo informado al interesado. No se ha hurtado al interesado del ejercicio de su derecho”.

El Ayuntamiento también señala que “La SJCA número X de Toledo, XXX/2021 (Recurso XXXXXXX), al desestimar el recurso formulado por el demandante por no haberle ofrecido la Administración la información requerida, declara en su FJ-Tercero que: “(…) debe ser así dado que el Ayuntamiento demandado no deniega información al recurrente sino que le dice que no se le puede facilitar "por inexistencia de objeto al no existir los trámites descritos por el interesado sobre los que solicita información, más allá de los documentos contenidos en la copia del expediente puesto a disposición en el preceptivo trámite junto a la Diligencia de fecha 28 de febrero y de R.S.Nº XXX, notificada al interesado con fecha…". Es decir, no se le puede facilitar al recurrente lo que no existe, y de ahí que no haya constancia de ello en el expediente, ni nada haya probado el recurrente sobre dicho extremo”. Siendo esto doctrina general, atendiendo al contenido del derecho de acceso, entendemos que no se ha hurtado el derecho del interesado, puesto que se le ha suministrado la información requerida en varias ocasiones, tanto el informe del responsable del tratamiento de datos, como de la policía local, donde se expresa el relato de lo actuado, y la identificación de los agentes actuantes”.

Por todo lo expuesto, concluye que “en ningún caso puede afirmarse que este Ayuntamiento ha hurtado al particular de la información y datos solicitados. Y desde luego no puede sostenerse que este ayuntamiento ha desobedecido, desoído u obstruido las directrices de este organismo, puesto que en todo momento se ha ido contestando a todo lo requerido, sometiéndonos al ritmo del interesado en cumplir con las exigencias municipales, tales como el pago de las tasas correspondientes por expedición de documentos.

Se advierte, por tanto, que este Ayuntamiento ha atendido la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora (se ha cumplido con el derecho de acceso a la información ejercido por el interesado), de forma que no nos encontramos ante una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.6, solicitando el archivo de este procedimiento.

Por esta razón, interesamos la estimación de estas alegaciones, y en su virtud, sea dictada Resolución de esta Agencia por la que se declare la inexistencia de responsabilidad en la comisión de infracción alguna, archivándose el procedimiento.”

DUODÉCIMO: Con fecha 9 de julio de 2024 se formuló propuesta de resolución, proponiendo que por la Directora de la Agencia Española de Protección de Datos se declare que el Ayuntamiento ha infringido lo dispuesto en el Artículo 58.2 del RGPD, infracción tipificada en el Artículo 83.6 del RGPD. Esta propuesta de resolución fue notificada fehacientemente al Ayuntamiento.

DÉCIMOSEGUNDO: Con fecha 12 de julio de 2024 y número de registro REGAGE24e00052619479, el Ayuntamiento presenta escrito de alegaciones a la Propuesta de resolución en el que, en relación al cumplimiento de la resolución del procedimiento de ejercicio de derechos del expediente número EXP202212375, manifiesta lo siguiente.

El Ayuntamiento reitera que “se está imputando una conducta infractora a una administración en relación con el tratamiento de datos vinculado a un expediente en el que solicita el derecho de acceso cuando este Ayuntamiento no es la Administración encargada de su tramitación, actuando exclusivamente de manera instrumental en colaboración con la administración sustantiva (…)

Por ende, nos encontramos no ante un incumplimiento respecto a la reclamación sino ante una eventual irregularidad formal por no haber comunicado presuntamente a esa Agencia la materialización del acceso e información conferida al reclamante Don A.A.A..”

El Ayuntamiento señala que “quien tiene la obligación legal de facilitar el acceso a toda la documentación que conforma un expediente es exclusivamente la responsable de su tramitación” y cita el artículo 70 de la LPACAP.

Pero, añade el Ayuntamiento, “tal como ha quedado acreditado en los documentos aportados con motivo de las alegaciones formuladas a la incoación del expediente sancionador, y justamente en respuesta a lo requerido por esa Agencia, se ha atendido en debida forma a Don A.A.A..”

El Ayuntamiento opina que “tanto el reclamante como esa Agencia convierten a este Ayuntamiento en responsable de facilitar una información o adoptar decisiones que ni le conciernen ni le competen.”

El Ayuntamiento, tras indicar que respondió a dos requerimientos de cumplimiento de esta Agencia, reconoce que “cierto es que esa Agencia con fecha 21 de junio de 2023, recibido en este Ayuntamiento el día 30 del mismo mes y año, vuelve a solicitar que se notifique las medidas adoptadas, entendiéndose por este Ayuntamiento de buena fe que en la medida en que se le había cursado respuesta en los dos escritos anteriores se daba por cumplido dicho requerimiento.

Pues bien, queremos suponer que con causa en esta omisión el día 18 de octubre de 2023 la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al Ayuntamiento, con arreglo a lo dispuesto en los artículos 63 y 64 de la LPACAP, por la presunta infracción del Artículo 58.2 del RGPD, tipificada en el Artículo 83.6 del RGPD, siendo contestada dicha resolución mediante escrito de alegaciones que en la propuesta de resolución que motiva el presente, no son apreciadas en forma alguna.

Y justamente como fundamentación de las citadas alegaciones se aportaba toda la documentación de lo actuado donde se acredita todos los extremos de las diligencias del Ayuntamiento antes reseñadas, de modo y manera, que esa Agencia tiene así y con tal causa un total y cumplido conocimiento de lo que a este Ayuntamiento concierne.”

Por otra parte, el Ayuntamiento señala que “Del relato de los hechos, de las diversas alegaciones y detallada documentación aportada en el expediente de origen y en el actual, se infiere que no ha habido una actuación intencionada o negligente por parte del Ayuntamiento de Ávila, ni en la ejecución de resolución de esa Agencia en el expediente de acceso a datos personales interpuesto por el Sr. A.A.A., ni en la cumplimentación de los requerimientos dirigidos a esta entidad.

Para la imposición de sanción administrativa basada en las infracciones contenidas en los apartados 4 a 6 del artículo 83 del Reglamento General de Protección de Datos es preciso, según ha declarado el Tribunal de Justicia de la Unión Europea en sentencias de 5 de diciembre de 2023 (asuntos C-683/21 y 807/21), que se acredite que tal infracción se cometió de forma intencionada o negligente”

El Ayuntamiento alega que “Ni el acuerdo de inicio del expediente sancionador, ni la propuesta de resolución se acredita el actuar culposo o negligente requerido por las citadas sentencias para la imposición de la sanción, más bien lo contrario. Pese a la posición instrumental de este Ayuntamiento en el expediente de la Consejería de Familia de la Junta de Castilla y León, de las alegaciones y documentación remitidas a esa Agencia (10 de mayo, 8 de Junio y 3 de noviembre de 2023) sólo se puede deducir el cumplimiento escrupuloso por parte de esta Administración de las obligaciones tendentes a satisfacer el derecho de acceso requerido, en su día, por el interesado y ordenado por esa Agencia.

Se advierte, por tanto, que este Ayuntamiento ha atendido la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora (se ha cumplido con el derecho de acceso a la información ejercido por el interesado) y de ello se informó a esa Agencia en la forma explicada (singularmente el 8 de junio de 2023), de manera que nos encontramos ante una infracción administrativa no acontecida en los términos imputados.”

Por lo expuesto, el Ayuntamiento solicita que “sea dictada Resolución de esa Agencia por la que se declare la inexistencia de responsabilidad en la comisión de infracción alguna por este ayuntamiento, archivando el procedimiento.”

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,

 HECHOS

HECHOS

 

PRIMERO: La resolución del procedimiento de ejercicio de derechos y los requerimientos para el cumplimiento de la misma indicados en los antecedentes primero, cuarto y sexto fueron notificados con arreglo a lo dispuesto en la LPACAP. Dicha resolución devino firme y ejecutiva por el transcurso de los plazos previstos para la interposición de los recursos en ella indicados.

SEGUNDO: El Ayuntamiento no ha remitido respuesta a esta Agencia que acredite el cumplimiento de la resolución en los términos del artículo 15 del RGPD con anterioridad al acuerdo de inicio del presente procedimiento sancionador.

 FUNDAMENTOS DE DERECHO

FUNDAMENTOS DE DERECHO

 

I Competencia

De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Alegaciones al acuerdo de inicio

En respuesta a las alegaciones presentadas por el Ayuntamiento se debe señalar lo siguiente.

En la resolución del procedimiento de ejercicio de derechos del expediente número EXP202212375, se requería al Ayuntamiento que remitiera a la parte reclamante certificación por la que se atendiera el derecho de acceso ejercido o se denegara motivadamente. Además, las actuaciones realizadas como consecuencia de dicha resolución debían ser comunicadas a esta Agencia.

Como se recoge en el antecedente sexto, con fecha 30 de junio de 2023, una vez el reclamante volvió a solicitar a esta Agencia en escrito de 21 de junio de 2023 la ejecución de la resolución, aportando acreditación del pago de las tasas correspondientes, se volvió a requerir al Ayuntamiento para que remitiera a la parte reclamante certificación del cumplimiento de la resolución indicada y notificara a esta Agencia las medidas adoptadas. En este requerimiento, se recordaba al Ayuntamiento que debía acreditar el cumplimiento al derecho de acceso en los términos del artículo 15 del RGPD. A este requerimiento no se recibió respuesta alguna.

Por tanto, en el momento del inicio del presente procedimiento sancionador no se había dado cumplimiento a la resolución del EXP202212375, al no acreditarse ante esta Agencia que se hubiera proporcionado respuesta al derecho de acceso, a pesar de ser expresamente ordenado en la resolución, y habérsele requerido en diversas ocasiones, la última el 30 de junio de 2023.

La información proporcionada durante la instrucción de este procedimiento no afecta a la existencia de los hechos probados constitutivos de infracción. No obstante, se considera que no procede proponer la adopción de las medidas previstas en el acuerdo de inicio, consistentes en ordenar la notificación a esta Agencia de las actuaciones llevadas a cabo en cumplimiento de la resolución del expediente EXP202212375, por haberse realizado como parte de las alegaciones presentadas.

Por lo que se refiere a la información comunicada, por parte de esta Agencia se acusa recibo de la misma, sin que esta declaración suponga ningún pronunciamiento sobre la misma.

III Alegaciones a la propuesta de resolución

En respuesta a las alegaciones a la Propuesta de resolución del presente expediente presentadas por el Ayuntamiento se debe señalar lo siguiente.

Las alegaciones presentadas contra la Propuesta de resolución de este expediente reproducen en su mayoría los mismos argumentos esgrimidos contra el Acuerdo de inicio y, por tanto, ya han sido contestados por esta Agencia en el anterior Fundamento de Derecho.

Al respecto se debe incidir en que la orden dictada en la resolución que puso fin al procedimiento de derechos del expediente EXP202212375, de cuyo incumplimiento trae causa el presente procedimiento sancionador, tiene como sujeto obligado al Ayuntamiento de Ávila, y que cualquier motivo de disconformidad con la determinación del sujeto obligado podía haber sido planteado durante la tramitación de dicho procedimiento, o en el correspondiente recurso al mismo. Dicha resolución es, en el momento presente, firme y ejecutiva, y debe ser cumplida en sus propios términos, no pudiendo admitirse alegaciones que pretendan la revisión de la misma.

En cuanto al requisito de culpabilidad para la imposición de sanción administrativa basada en las infracciones contenidas en los apartados 4 a 6 del artículo 83 del RGPD, ciertamente, el principio de responsabilidad previsto en el artículo 28.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispone que: “Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa.”

No obstante, según lo dictaminado en la STS 7887/2011 de 24 de noviembre de 2011, Rec. 258/2009, “(…) desde su sentencia 76/1990, de 26 de abril, el Tribunal Constitucional viene declarando que no cabe en el ámbito sancionador administrativo la responsabilidad objetiva o sin culpa, doctrina que se reafirma en la sentencia 164/2005, de 20 de junio de 2005 , en cuya virtud se excluye la posibilidad de imponer sanciones por el mero resultado, sin acreditar un mínimo de culpabilidad aun a título de mera negligencia. Ahora bien, el modo de atribución de responsabilidad, a las personas jurídicas no se corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la conducta humana.”

Sucede así que, en el caso de infracciones cometidas por personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad (véase la sentencia de esta Sala del Tribunal Supremo de 20 de noviembre de 2011 (recurso de casación en interés de ley 48/2007), éste se aplica necesariamente de forma distinta a como se hace respecto de las personas físicas. Según la STC 246/1991 “(...) esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma.”

A lo expuesto debe añadirse, siguiendo la sentencia de 23 de enero de 1998, parcialmente trascrita en la STS 6262/2009, de 9 de octubre de 2009, Rec 5285/2005, y STS 6336/2009, de 23 de octubre de 2009, Rec 1067/2006, que "aunque la culpabilidad de la conducta debe también ser objeto de prueba, debe considerarse en orden a la asunción de la correspondiente carga, que ordinariamente los elementos volitivos y cognoscitivos necesarios para apreciar aquélla forman parte de la conducta típica probada, y que su exclusión requiere que se acredite la ausencia de tales elementos, o en su vertiente normativa, que se ha empleado la diligencia que era exigible por quien aduce su inexistencia; no basta, en suma, para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausencia de culpa".

Asimismo, cabe reiterar que el último requerimiento de cumplimiento de esta Agencia, realizado por entenderse que no se habían contestado los anteriores en los términos del artículo 15 del RGPD, no recibió ninguna respuesta. Por consiguiente, se desestima la falta de culpabilidad ya que el Ayuntamiento no contestó de forma adecuada a los requerimientos efectuados por esta Agencia antes del inicio del presente procedimiento sancionador.

Por lo expuesto, no cabe acceder a la solicitud del Ayuntamiento respecto a la inexistencia de responsabilidad y el archivo del presente expediente sancionador.

IV Obligación incumplida

A tenor de los hechos expuestos, se considera que el Ayuntamiento ha incumplido la resolución de la Agencia Española de Protección de Datos.

Por tanto, los hechos descritos en el apartado de “Hechos probados” se estiman constitutivos de una infracción, imputable al Ayuntamiento, por vulneración del artículo 58.2.d) del RGPD, que dispone lo siguiente:

“2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

(…)

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;”

V Tipificación y calificación de la infracción

Esta infracción se tipifica en el artículo 83.6 del RGPD, que estipula lo siguiente:

“El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.” A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los tres años, conforme al artículo 72.1 de la LOPDGDD, que califica de muy grave la siguiente conducta:

“m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679.”

VI Sanción imputada

El artículo 83.7 del RGPD dispone lo siguiente:

“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.”

Asimismo, el artículo 77 “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” de la LOPDGDD dispone lo siguiente:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(…)

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

(…)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.”

Por lo tanto, de acuerdo con la legislación aplicable, la Directora de la Agencia Española de Protección de Datos:

 RESUELVE

RESUELVE

 

PRIMERO: DECLARAR que el AYUNTAMIENTO DE ÁVILA, con NIF P********, ha infringido lo dispuesto en el Artículo 58.2 del RGPD, infracción tipificada en el Artículo 83.6 del RGPD.

SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE ÁVILA.

TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos