Sanción a ayuntamiento por no disponer de Delegado de Protección de Datos


AEPD 05/06/2020

Se presentó por un particular reclamación ante la Agencia Española de Protección de Datos -AEPD- contra un ayuntamiento ante la carencia de Delegado de Protección de Datos -DPD-, así como por tener a dos voluntarios que colaboran con el consistorio en la ayuda a personas necesitadas del municipio y que tienen acceso a información relativa a datos sensibles.

La AEPD acordó iniciar procedimiento sancionador al reclamado por la presunta infracción de los arts. 28 y 37 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -RGPD-, tipificadas en el art. 83.4 RGPD.

Respecto a la carencia de la figura de DPD, manifiesta la AEPD que el ayuntamiento reclamado debía haber procedido a su nombramiento obligatorio ya que el tratamiento lo lleva a cabo una autoridad u organismo público. La modalidad de su contratación, nombramiento y relación laboral es muy amplia, pudiendo elegirse lo más adecuado para su situación concreta. Y señala que, si bien el RGPD entró en vigor el día 25 de mayo de 2016, el mismo no fue aplicable hasta dos años después con el fin de poder adecuar los tratamientos a la nueva normativa. No obstante, pone de manifiesto la AEPD que el ayuntamiento aún no había nombrado un DPD un año y medio después de finalizado ese periodo de adaptación. Por ello, entiende que la actitud del ayuntamiento supone un incumplimiento de la obligación establecida en el art. 37 RGPD y sancionada en su art. 83.4.a).

Respecto a la segunda parte de la reclamación, referida a la existencia de dos voluntarios que colaboran con el consistorio para facilitar la ayuda a personas necesitadas del municipio, señala la AEPD que esta situación, que se produce en muchas organizaciones, públicas y privadas, no es necesario que esté regulada en un contrato de prestación de servicios, si bien es recomendable que se informe a los voluntarios, si van a acceder a datos personales, de las medidas de seguridad que han de tener en consideración y aplicar, así como de la obligación de mantener la confidencialidad sobre los datos personales que conozcan y utilicen.

Por todo ello, la AEPD impone la sanción de apercibimiento al ayuntamiento infractor y le requiere para que proceda al nombramiento del DPD, debiendo informar de ello a la AEPD.

Agencia Española de Protección de Datos, Resolución, 5-06-2020

ANTECEDENTES DE HECHO

PRIMERO: Don A.A.A. (en adelante, el reclamante), con fecha 17 de noviembre de 2018, interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra el AYUNTAMIENTO DE HUERCAL (ALMERIA), con NIF P0405200G (en adelante, el reclamado). Los motivos en que basa la reclamación son que dicho Ayuntamiento carece de Delegado de Protección de Datos (DPD). Asimismo, afirma que los concejales del equipo de gobierno pueden acceder libremente a los datos del padrón y que personas que no tienen ningún tipo de relación laboral con el ayuntamiento tienen acceso a información relativa a datos sensibles (como son los usuarios de servicios sociales o las personas que se encuentran en situación de exclusión social o en riesgo de estarlo).

Con fecha 7 de febrero de 2019, se recibe en esta Agencia nuevo escrito remitido por el denunciante que al recibir el acuerdo de admisión a trámite de su reclamación manifiesta que, para su sorpresa, el ayuntamiento de Huércal de Almería exhibe en redes sociales y en prensa un escrito de la AEPD de la misma fecha con número de registro de salida 5807/2019 donde se le comunica justo lo contrario, que no se ha admitido a trámite.

Junto a la reclamación aporta:

- Acuerdo de admisión a trámite remitida al reclamante.

- Impresión de pantalla del acuerdo enviado al AYUNTAMIENTO donde se indica que la reclamación no ha sido admitida a trámite.

SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por el reclamante de los hechos y documentos de los que ha tenido conocimiento esta Agencia, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD).

Como resultado de las actuaciones de investigación practicadas, se constata que el responsable del tratamiento es el reclamado. Con fecha 12 de diciembre de 2018, se da traslado de la reclamación al AYUNTAMIENTO solicitando la siguiente información: (i) Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión, (ii) Informe sobre las causas que han motivado la incidencia que ha originado la reclamación, (iii) Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares y (iv) Cualquier otra que considere relevante.

Con fecha 11 de enero de 2019, se recibe en esta Agencia escrito de alegaciones remitido por el AYUNTAMIENTO manifestando entre otros aspectos que el reclamante es el que fuera alcalde desde el 13 de junio de 2015 hasta el 19 de octubre de 2018, fecha en la que fue sometido a una moción de censura, y que los dos voluntarios presentes en los servicios sociales del AYUNTAMIENTO no intervienen en tramitación administrativa municipal alguna, limitando su labor, una de ellas (B.B.B.) a colaborar con la Concejalía en el distribución de alimentos a personas necesitadas previa tramitación de las correspondientes solicitudes por los servicios administrativos, y la otra persona (C.C.C.) colabora en la recogida y reparto material de los alimentos, también como colaborador de manera altruista. Toda esta actuación, de colaboración voluntaria y altruista, es y era sobradamente conocida por el reclamante durante su etapa como alcalde. Y en todo caso, cualquier intervención de estas dos personas era y es supervisada por el (...) Sr. D.D.D.

Con fecha de 24 de enero de 2019, se notifica al reclamante el acuerdo de admitir a trámite la reclamación presentada por la reclamante contra el AYUNTAMIENTO DE HUERCAL el acuerdo de no admisión a trámite.

Con fecha de notificación de 12 de febrero de 2019, se remite escrito al AYUNTAMIENTO indicando que en la comunicación anterior realizada a ese AYUNTAMIENTO se había producido un error, queriendo decir en todo momento que la reclamación presentada por el reclamante se admitía a trámite.

TERCERO: Puesto que no se había informado al reclamante sobre el error ocurrido y transmitido al AYUNTAMIENTO, con fecha de notificación de 8 de marzo de 2019, se comunica al reclamante la subsanación del error y se le adjunta copia del escrito de subsanación enviado al ayuntamiento.

Con fecha 20 de marzo de 2019, se recibe en esta Agencia escrito remitido por el AYUNTAMIENTO expresando su disconformidad con que esta Agencia "aprecie un Error en la notificación de acuerdo pues parece más bien un cambio de criterio, sin que conste en el escrito recibido a qué obedece el error".

Requerida información sobre la existencia de un documento conteniendo la política de confidencialidad a la que deban someterse los voluntarios con acceso a datos y sobre la existencia de DPD, con fecha 10 de octubre de 2019, se recibe en esta Agencia diversos escritos remitidos por el AYUNTAMIENTO en tres lotes independientes con números de registro 049527/2019, 049529/2019 y 049615/2019, exponiendo entre otros aspectos:

- Aún están en proceso de adecuación al Reglamento (UE) 2016/679 de Protección de Datos de Carácter Personal ya que habían sido excluidos de su adhesión al "Plan Provincial de Adecuación al Reglamento General de Protección de Datos" de la diputación al no estar adheridos a la Red Provincial de Comunicaciones y Servicios de Teleadministración. Añaden que se ha abierto, con fecha 3 de noviembre de 2019, expediente de contratación menor de servicios (exp. 3078/2019) denominado "Servicio de soporte de proceso de adecuación al Reglamento General de Protección de Datos y Ley Orgánica Protección Datos Personales y Garantía de Derechos Digitales (LOPDGDD). Servicio de soporte a la adecuación del Esquema nacional de Seguridad (ENS)"; expediente, que a fecha actual, no ha finalizado su tramitación.

- Que no les consta que exista ningún documento que deban firmar los voluntarios aceptando una política de confidencialidad para el plan de alimentos de ayuda a los más desfavorecidos para el reparto de comida.

TERCERO: Con fecha 13 de enero de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción de los artículos 28 y 37 del RGPD, tipificadas en el Artículo 83.4 del RGPD.

CUARTO: El acuerdo de inicio fue notificado electrónicamente a la denunciada. Así lo exige el artículo 14.2 de la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP) conforme al cual "En todo caso estarán obligados a relacionarse a través de medios electrónicos con las Administraciones Públicas para la realización de cualquier trámite de un procedimiento administrativo, al menos, los siguientes sujetos: a) Las personas jurídicas".

Obra en el expediente el Certificado emitido por el Servicio de Notificaciones Electrónicas y de Dirección Electrónica Habilitada de la FNMT-RCM, que deja constancia del envío del acuerdo de inicio, notificación de la AEPD dirigida al reclamado, a través de ese medio siendo la fecha de puesta a disposición en la sede electrónica del organismo el 13/01/2020 y la fecha de aceptación el 14/01/2020.

QUINTO: De conformidad con el artículo 73.1 de la LPCAP el plazo para formular alegaciones al Acuerdo de Inicio es de diez días computados a partir del siguiente al de la notificación.

El artículo 64.2. LPACAP, indica que se informará al denunciado del derecho a formular alegaciones, del "derecho a la audiencia en el procedimiento y de los plazos para su ejercicio, así como la indicación de que en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada".

El acuerdo de inicio del expediente sancionador que nos ocupa contenía un pronunciamiento preciso sobre la responsabilidad de la entidad reclamada: en el citado acuerdo se concretaba cuál era conducta infractora, el tipo sancionador en el que era subsumible, las circunstancias de la responsabilidad descritas y la sanción que a juicio de la AEPD procedía imponer.

En consideración a lo expuesto y de conformidad con lo establecido en el artículo 64.2.f) de la LPACAP, el acuerdo de inicio del PS/00001/2020 es considerado Propuesta de Resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS

PRIMERO: El AYUNTAMIENTO DE HUERCAL (ALMERIA), no ha nombrado Delegado de Protección de Datos (DPD).

SEGUNDO: Dos voluntarios que trabajan en los servicios sociales del AYUNTAMIENTO realizan las labores siguientes: una de ellas, (B.B.B.), colabora con la Concejalía en la distribución de alimentos a personas necesitadas previa tramitación de las correspondientes solicitudes por los servicios administrativos. La otra persona, (C.C.C.), colabora en la recogida y reparto material de los alimentos, también como colaborador de manera altruista.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para resolver este procedimiento.

II

El artículo 37 del RGPD, establece acerca del Delegado de Protección de Datos lo siguiente:

"1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control."

En este sentido, la LOPDGDD determina en su artículo 34.1 y 3: "Designación de un delegado de protección de datos"

"1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679.

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria."

El artículo 83.4 del RGPD establece:

"4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;..."

El artículo 73 de la LOPDGDD determina lo siguiente:

"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

... v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica."

El Ayuntamiento de Huercal viene obligado a nombrar un DPD ya que el tratamiento lo lleva a cabo una autoridad u organismo público. La modalidad de su contratación, nombramiento y relación laboral es muy amplia, puede elegirse lo más adecuado para su concreta situación. Alega el Ayuntamiento que en el mes de noviembre de 2019 iniciaron la tramitación de un expediente de contratación menor de servicios (exp. 3078/2019) denominado "Servicio de soporte de proceso de adecuación al Reglamento General de Protección de Datos y Ley Orgánica Protección Datos Personales y Garantía de Derechos Digitales (LOPDGDD). Servicio de soporte a la adecuación del Esquema nacional de Seguridad (ENS)"; expediente que no ha finalizado su tramitación.

El RGPD entró en vigor el día 25 de mayo de 2016, si bien no fue aplicable hasta dos años después. Ese periodo de tiempo era necesario para adecuar los tratamientos a la nueva normativa. Pero el Ayuntamiento de Huercal, un año y medio después de ese periodo de adaptación aun no había nombrado un DPD.

En consecuencia, el Ayuntamiento de Huercal ha incumplido la obligación establecida en el artículo 37 del RGPD y sancionada en el artículo 83.4.a) del mismo.

III

La segunda parte de la reclamación, remitida por el anterior Alcalde del municipio de Huercal, se refiere a que hay dos voluntarios que colaboran con el consistorio para facilitar la ayuda a personas necesitadas del municipio. Esta situación que se produce en muchas organizaciones, públicas y privadas, no es necesario que esté regulada en un contrato de prestación de servicios, si bien es recomendable que se informe a los voluntarios, si van a acceder a datos personales, de las medidas de seguridad que han de tener en consideración y aplicar, así como de la obligación de mantener la confidencialidad sobre los datos personales que conozcan y utilicen.

IV

La LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica".

V

Entre los poderes correctivos que contempla el artículo 58 del RGPD, en su apartado 2 d) se establece que cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado...". La imposición de esta medida es compatible con la sanción, según lo dispuesto en el art. 83.2 del RGPD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER al AYUNTAMIENTO DE HUERCAL DE ALMERIA, con NIF P0405200G, por la infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD, la sanción de APERCIBIMIENTO.

SEGUNDO: REQUERIR al AYUNTAMIENTO DE HUERCAL DE ALMERIA, con NIF P0405200G:

1. El nombramiento del Delegado de Protección de Datos.

Deberá informar a esta Agencia en el plazo de un mes a contar desde la notificación de esta Resolución.

TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE HUERCAL DE ALMERIA.

CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.