Sanción a ayuntamiento por no disponer de delegado de protección de datos


AEPD 02/07/2021

Se interpuso reclamación contra un ayuntamiento por no haber designado a un delegado de protección de datos, a pesar de disponer de un correo electrónico para atender dudas o consultas sobre protección de datos.

La AEPD, una vez comprobado que el ayuntamiento no comunicó el nombramiento, le requiere para que en el plazo de 1 mes efectúe la designación. Además, le impone una sanción de apercibimiento por estos hechos.

Agencia Española de Protección de Datos, Resolución, 2-07-2021

ANTECEDENTES DE HECHO 

 

PRIMERO: D. A.A.A. (en adelante, el reclamante) interpuso con fecha 1/06/2020 una reclamación ante la Agencia Española de Protección de Datos (AEPD). La reclamación se dirige contra el AYUNTAMIENTO DE SAN BARTOLOMÉ DE TIRAJANA, con NIF P3502000G, (en adelante, el reclamado). El motivo en que basa la reclamación es que el reclamado carece de delegado de protección de datos pese a estar obligado por la normativa vigente a su designación. El reclamante expone que “...si bien existe una dirección de correo electrónico habilitado para remitir consultas o dudas que puedan surgir relativas a protección de datos, en nuestra entidad local no se ha designado a ningún Delegado de Protección de Datos incumpliendo así el artículo 37.1 del Reglamento (UE) 2016/679 (RGPD)”.

El reclamante manifiesta que actúa en nombre de “los Sindicatos abajo firmantes, miembros del Comité de Empresa del Ayuntamiento de San Bartolomé de Tirajana”, pero no acredita la representación que dice ostentar, por lo que la reclamación se entiende presentada en su propio nombre.

SEGUNDO: A la vista de los hechos expuestos en la reclamación, en fecha 03/06/2020 se consulta, con resultado negativo, la lista de delegados de protección de datos comunicados a la AEPD utilizando como criterio de la búsqueda el NIF del reclamado.

En el marco del expediente E/4780/2020, la AEPD, en escrito firmado el 12/06/2020, dio traslado de la reclamación a la reclamada para que en el plazo de un mes facilitara a esta Agencia una explicación sobre los hechos denunciados, detallara las medidas adoptadas para evitar que en el futuro se sigan produciendo situaciones similares y procediera también a comunicar su decisión al reclamante. El escrito se notificó a la reclamada electrónicamente. Así lo acredita el certificado de la FNMT que obra en el expediente en el que consta como fecha de puesta a disposición en la sede electrónica el 12/06/2020 y como fecha de aceptación de la notificación el 22/06/2020.

En fecha 16/09/2020 no se había recibido en la AEPD una respuesta de la reclamada a la solicitud informativa. De conformidad con lo previsto en el artículo 65 de la Ley Orgánica 3/2018, de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) en esa fecha se adopta el acuerdo de admitir a trámite la reclamación.

El acuerdo de admisión a trámite se notificó al reclamante electrónicamente. El certificado emitido por la FNMT que obra en el expediente acredita que la notificación se puso a disposición del reclamante el 16/09/2020 y fue aceptada el 20/09/2020.

TERCERO: Con fecha 29 de septiembre de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del Artículo 37 del RGPD, tipificada en el Artículo 83.4 del RGPD.

CUARTO: El acuerdo de inicio fue notificado electrónicamente al reclamado. Así lo exige el artículo 14.2 de la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP) conforme al cual “En todo caso estarán obligados a relacionarse a través de medios electrónicos con las Administraciones Públicas para la realización de cualquier trámite de un procedimiento administrativo, al menos, los siguientes sujetos: a) Las personas jurídicas”.

Obra en el expediente el Certificado emitido por el Servicio de Notificaciones Electrónicas y de Dirección Electrónica Habilitada de la FNMT-RCM, que deja constancia del envío del acuerdo de inicio, notificación de la AEPD dirigida al reclamado, a través de ese medio siendo la fecha de puesta a disposición en la sede electrónica del organismo el 01/10/2020 y la fecha de rechazo el 12/10/2020.

QUINTO: De conformidad con el artículo 73.1 de la LPCAP el plazo para formular alegaciones al Acuerdo de Inicio es de diez días computados a partir del siguiente al de la notificación.

El artículo 64.2. LPACAP, indica que se informará al denunciado del derecho a formular alegaciones, del “derecho a la audiencia en el procedimiento y de los plazos para su ejercicio, así como la indicación de que en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada”. (El subrayado es de la AEPD)

El acuerdo de inicio del expediente sancionador que nos ocupa contenía un pronunciamiento preciso sobre la responsabilidad de la entidad reclamada: en el citado acuerdo se concretaba cuál era conducta infractora, el tipo sancionador en el que era subsumible, las circunstancias de la responsabilidad descritas y la sanción que a juicio de la AEPD procedía imponer.

En consideración a lo expuesto y de conformidad con lo establecido en el artículo 64.2.f) de la LPACAP, el acuerdo de inicio del PS/00330/2020 es considerado Propuesta de Resolución: Notificado el acuerdo de inicio, el reclamado al tiempo de la presente resolución no ha presentado escrito de alegaciones, por lo que es de aplicación lo señalado en el artículo 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que en su apartado f) establece que en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada, por lo que se procede a dictar Resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes:

HECHOS

PRIMERO: Se recibió reclamación contra el AYUNTAMIENTO DE SAN BARTOLOMÉ DE TIRAJANA, por carecer de delegado de protección de datos, pese a estar obligado por la normativa vigente a su designación.

SEGUNDO: Consultada la lista de delegados de protección de datos comunicados a la AEPD no se encuentra comunicado.

TERCERO: El AYUNTAMIENTO DE SAN BARTOLOMÉ DE TIRAJANA, no ha nombrado Delegado de Protección de Datos (DPD).

FUNDAMENTOS DE DERECHO 

 

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

Las Administraciones Públicas actúan como responsables del tratamiento de datos de carácter personal y, en ocasiones, ejercen funciones de encargados del tratamiento por lo que, siguiendo el principio de responsabilidad proactiva, les corresponde atender las obligaciones que el RGPD detalla, entre las que se incluye la de nombrar un delegado de protección de datos, hacer públicos sus datos de contacto y comunicarlos a la AEPD (artículo 37 RGPD)

Los apartados 1 y 7 del artículo 37 RGPD se refieren a esas obligaciones y establecen, respectivamente:

“El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en el ejercicio de su función judicial;”.

“El responsable o el encargado de tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.”

Sobre la designación del delegado de protección de datos los apartados 3 y 5 del artículo 37 del RGPD señalan que “Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”. “El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.”

Por su parte, la LOPDGDD dedica el artículo 34 a la “Designación de un delegado de protección de datos”, precepto que dispone:

“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y(...)”

“3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en los que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.

La infracción de la obligación impuesta al reclamado por el artículo 37.1 RGPD se tipifica en el artículo 83.4. RGPD, que señala: “Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado a tenor de los artículos (...) 25 a 39, ...”

La LOPDGDD indica en el artículo 73, “Infracciones consideradas graves”:

“En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

(...) v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”

III

A propósito de la sanción o sanciones que pudieran imponerse al reclamado en el presente procedimiento sancionador, han tomarse en consideración las siguientes disposiciones:

De una parte, el artículo 58.2 del RGPD que establece que “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

(...) b) dirigir a todo responsable o encargado de tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

(...) d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

(...) i)imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular; (...)”

De otra, el artículo 83.7 RGPD, que indica que “Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

De conformidad con esta habilitación otorgada por el RGPD, la LOPDGDD ha dispuesto en su artículo 77, “Régimen aplicable a determinadas categorías de responsables o encargado de tratamiento”, lo siguiente:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(...) c)La Administración General del Estado, las Administraciones de las Comunidades Autónomas y las entidades que integran la Administración Local.

(...) 2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido. La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.”

El Ayuntamiento de San Bartolomé de Tirajana viene obligado a nombrar un DPD ya que el tratamiento lo lleva a cabo una autoridad u organismo público. La modalidad de su contratación, nombramiento y relación laboral es muy amplia, puede elegirse lo más adecuado para su concreta situación.

El RGPD entró en vigor el día 25 de mayo de 2016, si bien no fue aplicable hasta dos años después. Ese periodo de tiempo era necesario para adecuar los tratamientos a la nueva normativa. Pero el Ayuntamiento mencionado, pasados más de dos años después de ese periodo de adaptación aún no había nombrado un DPD.

En consecuencia, el Ayuntamiento de San Bartolomé de Tirajana ha incumplido la obligación establecida en el artículo 37 del RGPD y sancionada en el artículo 83.4.a) del mismo.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos

FALLO 

 

PRIMERO: IMPONER al AYUNTAMIENTO DE SAN BARTOLOMÉ DE TIRAJANA, con NIF P3502000G, por una infracción del Artículo 37 del RGPD, tipificada en el Artículo 83.4 del RGPD, una sanción de apercibimiento.

SEGUNDO: REQUERIR al AYUNTAMIENTO DE SAN BARTOLOMÉ DE TIRAJANA, con NIF P3502000G:

1. El nombramiento del Delegado de Protección de Datos.

Deberá informar a esta Agencia en el plazo de un mes a contar desde la notificación de esta Resolución.

TERCERO : NOTIFICAR la presente resolución al AYUNTAMIENTO DE SAN BARTOLOMÉ DE TIRAJANA.

CUARTO : COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.