Sanción a ayuntamiento por no disponer del registro de actividades de tratamiento

AEPD 26/12/2023

Un particular presenta reclamación contra un ayuntamiento por no atender su petición de copia del registro de actividades de tratamiento -RAT- para poder ejercitar el derecho de acceso a sus datos.

El ayuntamiento, por su parte, reconoce que a fecha de la petición no contaba con dicho registro, motivo por el cual no pudo dar traslado a la solicitud, infringiendo con ello el art. 31.2 LOPDGDD. No obstante, procedió con posterioridad a licitar los servicios de auditoría de revisión y adecuación de cumplimiento del ENS, disponiendo del RAT en la actualidad.

Dado que dichos hechos se consideran acreditados, la AEPD señala que la sanción que corresponde imponer es la declaración de infracción.

Agencia Española de Protección de Datos, Resolución, 26-12-2023

ANTECEDENTES

PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 26 de enero de 2022 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE PATERNA con NIF P4619200A (en adelante, la parte reclamada). Los motivos en que basa la reclamación son los siguientes:

El reclamante expone que el 9 de diciembre de 2021 presentó un escrito ante la entidad reclamada, el AYUNTAMIENTO DE PATERNA, en el que solicitaba una copia del registro de actividades de tratamiento (en adelante RAT) para poder ejercitar el derecho de acceso a sus datos.

El reclamante manifiesta que no tienen publicado el RAT, ni le han contestado a su escrito.

Junto a la reclamación aporta el escrito presentado ante la entidad reclamada.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), fue recogido en fecha 18 de marzo de 2022 como consta en el acuse de recibo que obra en el expediente.

Si bien; no se ha recibido respuesta a este escrito de traslado.

TERCERO: Con fecha 26 de abril de 2022, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: Con fecha 25 de septiembre de 2023, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la LPACAP, por la presunta infracción del Artículo 31.2 de la LOPDGDD, tipificada en el Artículo 83.4 del RGPD.

QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP, la parte reclamada presentó escrito de alegaciones en el que, en síntesis, manifestaba que:

"El Ayuntamiento de Paterna, reconoce que en fecha en la que el reclamante solicitó el acceso al Registro de Actividades del Tratamiento del Ayuntamiento, no se disponía del mismo, motivo por el cual no se pudo dar traslado a su solicitud.

En octubre 2022 siendo el consistorio conocedor, de este déficit en cuanto al cumplimiento de la normativa vigente en materia de protección de datos, REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se decidió licitar los servicios de la auditoría de revisión y adecuación de cumplimiento del ENS y normativa en materia de protección de datos personales y prestación de las funciones asociadas a la figura de delegado de protección de datos.

Fruto de los trabajos desarrollados para la adecuación a la normativa de protección de datos el Ayuntamiento de Paterna pone a disposición de cualquier interesado el siguiente trámite para que pueda ejercer cualquiera de los derechos reconocidos en la normativa vigente en materia de protección de datos."

Examinadas las alegaciones de la parte reclamada, esta Agencia debe subrayar que el Reglamento Europeo General de Protección de Datos entró en vigor en mayo de 2016; no obstante, su aplicación es de fecha 25 de mayo de 2018.

En consecuencia, los responsables y encargados del tratamiento de datos personales han tenido un amplio margen de tiempo para adoptar las medidas necesarias para el cumplimiento de la normativa vigente en materia de protección de datos.

Además, tal y como alegan en el escrito presentado, el reclamado licitó los servicios de la auditoría de revisión y adecuación de cumplimiento del ENS (Esquema Nacional de Seguridad) de aplicación en todo el sector público en octubre de 2022, cuando el reclamado tenía la obligación de haber llevado a cabo el RAT desde el inicio del tratamiento.

Si bien con la elaboración posterior del RAT, la parte reclamada cumple con lo regulado en los artículos 30 del RGPD y 31.2 de la LOPDGDD respectivamente.

Ahora bien, en el momento de la presentación de la reclamación que ha dado lugar al inicio del presente procedimiento sancionador, se hace necesario poner de manifiesto que, la parte reclamada no contaba con el RAT; por consiguiente, en dicho momento existe un incumplimiento de la normativa vigente en materia de protección de datos consistente en la vulneración de los citados artículos, no procediendo el archivo del procedimiento.

Por lo todo lo expuesto, se DESESTIMAN las alegaciones presentadas.

SEXTO: Con fecha 10 de octubre de 2023 se formuló propuesta de resolución, proponiendo sancionar al AYUNTAMIENTO DE PATERNA, por la reclamación interpuesta por una infracción del artículo 31.2 d de la LOPDGDD y otorgando un plazo de diez días para la presentación de alegaciones.

SÉPTIMO: Dicha propuesta fue debidamente notificada en fecha 11 de octubre de 2023 sin que se hayan recibido alegaciones.

De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:

HECHOS PROBADOS

PRIMERO: Queda acreditado en el expediente que la parte reclamante ha presentado ante el AYUNTAMIENTO DE PATERNA, escrito en el que solicitaba una copia del registro de actividades de tratamiento (en adelante RAT) para poder ejercitar el derecho de acceso a sus datos.

SEGUNDO: Consta acreditado en el expediente que la parte reclamada no tenía publicado el RAT, conforme a las comprobaciones realizadas por esta Agencia.

TERCERO: Queda acreditado en el expediente que la parte reclamada, tiene publicado el RAT actualmente, conforme a las comprobaciones realizadas por esta Agencia.

FUNDAMENTOS DE DERECHO

Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD, es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

Por último, la Disposición adicional cuarta "Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes" establece que: "Lo dispuesto en el Título VIII y en sus normas de desarrollo será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes."

Obligación incumplida

El artículo 30 del RGPD, Registro de las actividades de tratamiento, establece que:

"1. Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

2. Cada encargado y, en su caso, el representante del encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10".

También el artículo 31 de la LOPDGDD, Registro de las actividades de tratamiento, señala que:

"1. Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.

El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento.

Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.

2. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal".

En este sentido, se procede a clarificar el error material recogido en la propuesta de resolución, en la que, pese a especificarse claramente en el cuerpo de la misma, se hace referencia finalmente de manera exclusiva al artículo 31 de la LOPDGDD, siendo la imputación del incumplimiento la del artículo 30 del RGPD.

III

Tipificación y calificación de la infracción

A tenor de los hechos expuestos, se considera que corresponde imputar una sanción a la parte reclamada por la vulneración del artículo 31.2 de la LOPDGDD tipificada en el artículo 83.4 del RGPD. La sanción que corresponde imponer es la declaración de infracción.

El Artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD apartado 7 establece:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."

Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:

"1- El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: ...

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local...

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. (...)"

En consecuencia, corresponde dictar resolución declarando la infracción cometida por el AYUNTAMIENTO DE PATERNA.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos

RESUELVE:

PRIMERO: DECLARAR que AYUNTAMIENTO DE PATERNA, con NIF P4619200A, ha infringido lo dispuesto en el artículo 30 del RGPD, infracción tipificada en el artículo 83.4 del RGPD.

SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE PATERNA.

TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [<https://sedeagpd.gob.es/sede-electronica-web/%5D,>web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

agenda del interventor

30
abr

Ejecución trimestral del Presupuesto (primer trimestre de 2024)
Informe de seguimiento del Plan de Ajuste (primer trimestre de 2024)
Información sobre tipos impositivos de las Entidades Locales (esfuerzo fiscal 2024)
Remisión de informe resumen de control financiero 2023
Liquidación del Presupuesto de 2023. Entes con presupuesto limitativo
Remisión al Tribunal de Cuentas de información sobre estructura del órgano de intervención y ejercicio del control interno de la entidad local
Remisión al Tribunal de Cuentas de los acuerdos de gastos contrarios a reparos de intervención
Remisión al Tribunal de Cuentas de los acuerdos y resoluciones con omisión del trámite de fiscalización previa
Remisión al Tribunal de Cuentas de las anomalías en la gestión de ingresos
Información sobre retribuciones salariales del personal en 2023
Período Medio de Pago Mensual (marzo 2024) y Trimestral (primer trimestre 2024)
Informe de morosidad (primer trimestre de 2024)
15
may

Rendición de la Cuenta General de 2023