Sanción a ayuntamiento por no facilitar a sus empleados información sobre el control de fichaje por huella dactilar


AEPD 01/03/2021

Se interpuso reclamación contra un ayuntamiento por no responder a una solicitud de información  sobre el control de fichaje por huella dactilar.

El ayuntamiento reconoció la utilización de este sistema de control de presencia. No obstante, alegó que este sistema no conlleva un análisis biométrico sino que se elabora un algoritmo identificativo a raíz de una lectura de varios puntos de la huella personal y que los datos del algoritmo no pueden ser descifrados ni desmontados por ninguna entidad no autorizada.

La AEPD señala que los datos obtenidos a través de la huella dactilar deben der considerados datos biométricos, y aunque está permitido su uso para el control de presencia en el puesto de trabajo, es necesario realizar una evaluación del impacto en el tratamiento de estos datos.

En este caso concreto, este organismo considera probada la existencia de falta de información a los trabajadores en relación con el control de presencia y acceso a sus instalaciones municipales mediante un sistema de huella dactilar.

Por ello, le impone la sanción de apercibimiento y le emplaza para que en el plazo de 1 mes acredite la adopción de las medidas necesarias para garantizar que los trabajadores son conocedores del tratamiento que se efectúa de sus datos biométricos.

Agencia Española de Protección de Datos, Resolución, 1-03-2021

ANTECEDENTES 

 

PRIMERO: La reclamación interpuesta por D. A.A.A. (en adelante, el reclamante) tiene entrada con fecha 07/05/2019 en la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE ***LOCALIDAD.1, con NIF P3002000B (en adelante, el reclamado). Los motivos en que basa la reclamación son en síntesis: que el 20/03/2019 dirigió escrito al reclamado donde solicitaba información sobre determinadas cuestiones relacionadas con el control de fichaje por huella dactilar, sin que a día de la fecha se haya obtenido respuesta a la solicitud planteada.

SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de Inspección de Datos procedió a realizar las siguientes actuaciones:

El 01/07/2019, fue trasladada al reclamado la reclamación presentada para su análisis y comunicación a la denunciante de la decisión adoptada al respecto. Igualmente, se le requería para que en el plazo de un mes remitiera a la Agencia determinada información:

- Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.

- Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.

- Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.

- Cualquier otra que considere relevante.

El 08/08/2019 en respuesta al requerimiento de información aporta Documento se Seguridad donde se informa de conformidad con lo establecido en el RGPD y señala, entre otras, que el organismo utilizaba como control de presencia y acceso a sus instalaciones un sistema de detección de huella dactilar que no realiza en ningún momento un análisis biométrico, sino que elabora un algoritmo identificativo a raíz de una lectura de varios puntos de la huella personal y que los datos del algoritmo no pueden ser descifrados ni desmontados por ninguna entidad no autorizada.

Y en respuesta a nueva solicitud de información, en escrito de 21/10/2019 aportaba el informe sobre evaluación de impacto en el tratamiento del dato de la huella dactilar para el control de presencia de los empleados.

TERCERO: El 25/11/2019, de conformidad con el artículo 65 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada.

CUARTO: Con fecha 30/09/2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del artículo 13 del RGPD, contemplada en el artículo 83.5.b) del citado Reglamento, considerando que la sanción que pudiera corresponder sería la de apercibimiento.

QUINTO: Notificado el acuerdo de inicio, el reclamado al tiempo de la presente resolución no ha presentado escrito de alegaciones, por lo que es de aplicación lo señalado en el artículo 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que en su apartado f) establece que en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada, por lo que se procede a dictar Resolución.

SEXTO: De las actuaciones practicadas en el presente procedimiento, han quedado acreditados los siguientes:

HECHOS PROBADOS

PRIMERO: El 07/05/2019 tiene entrada en la AEPD escrito presentado por el interesado contra el reclamado manifestando que el 20/03/2019 dirigió al mismo solicitando información sobre el control de fichaje mediante huella dactilar de conformidad con lo señalado en la normativa en materia de protección de datos de carácter personal, sin que a día de la fecha se haya obtenido respuesta a dicha solicitud.

SEGUNDO: Consta aportada por el reclamante carta dirigida al reclamado solicitando la información de conformidad con el RGPD.

TERCERO: Consta aportado por el reclamado mediante escrito de 21/10/2019 Informe de Evaluación de Impacto del tratamiento del dato de la huella dactilar para control de presencia de los empleados. Asimismo, aporta documento de seguridad y documento de empresa Syon, Soluciones & Identificación, sobre huellas dactilares de los trabajadores.

FUNDAMENTOS DE DERECHO 

 

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en su artículo 64 "Acuerdo de iniciación en los procedimientos de naturaleza sancionadora", dispone:

"1. El acuerdo de iniciación se comunicará al instructor del procedimiento, con traslado de cuantas actuaciones existan al respecto, y se notificará a los interesados, entendiendo en todo caso por tal al inculpado.

Asimismo, la incoación se comunicará al denunciante cuando las normas reguladoras del procedimiento así lo prevean.

2. El acuerdo de iniciación deberá contener al menos:

a) Identificación de la persona o personas presuntamente responsables.

b) Los hechos que motivan la incoación del procedimiento, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción.

c) Identificación del instructor y, en su caso, Secretario del procedimiento, con expresa indicación del régimen de recusación de los mismos.

d) Órgano competente para la resolución del procedimiento y norma que le atribuya tal competencia, indicando la posibilidad de que el presunto responsable pueda reconocer voluntariamente su responsabilidad, con los efectos previstos en el artículo 85.

e) Medidas de carácter provisional que se hayan acordado por el órgano competente para iniciar el procedimiento sancionador, sin perjuicio de las que se puedan adoptar durante el mismo de conformidad con el artículo 56.

f) Indicación del derecho a formular alegaciones y a la audiencia en el procedimiento y de los plazos para su ejercicio, así como indicación de que, en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada.

3. Excepcionalmente, cuando en el momento de dictar el acuerdo de iniciación no existan elementos suficientes para la calificación inicial de los hechos que motivan la incoación del procedimiento, la citada calificación podrá realizarse en una fase posterior mediante la elaboración de un Pliego de cargos, que deberá ser notificado a los interesados".

En aplicación del anterior precepto y teniendo en cuenta que no se han formulado alegaciones al acuerdo de inicio, procede resolver el procedimiento iniciado.

III

La legitimación para el tratamiento de la huella dactilar para el control de los trabajadores por parte del empleador debemos buscarlo en el artículo 9 y 6 del RGPD.

El artículo 9 del RGPD establece en sus apartados 1 y 2.b) lo siguiente:

"1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado."

El artículo 6.1.b) del RGPD indica:

"1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales."

El reclamado tiene legitimación, fundamentada en la normativa señalada, para efectuar el control laboral de sus trabajadores, siempre que cumpla los requisitos indicados en el Fundamento de Derecho sexto.

Los hechos reclamados suponen la vulneración por parte del Ayuntamiento de lo señalado en el artículo 13 del RGPD, al no informar del tratamiento previsto en relación con el control de fichaje por huella dactilar, de conformidad con lo pronunciamientos establecidos en el citado artículo.

En este artículo se determina la información que debe facilitarse al interesado en el momento de la recogida de sus datos, estableciendo lo siguiente:

"Artículo 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesado.

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información".

IV

En el presente caso, el reclamante se dirigió por escrito al reclamado solicitando información sobre el control de fichaje mediante huella dactilar, considerando que se podría estar vulnerando la normativa en materia de protección de datos sin que obtuviera respuesta a dicha solicitud.

De la documentación aportada al expediente no consta la respuesta ofrecida al reclamante y, tal como consta en el antecedente segundo en respuesta al requerimiento informativo remitido por la AEPD el reclamado aporta Documento se Seguridad de conformidad con lo establecido en el RGPD, señalando que el órgano local utilizaba dicho sistema de control de presencia y acceso a sus instalaciones que no conlleva en ningún momento un análisis biométrico, sino que se elabora un algoritmo identificativo a raíz de una lectura de varios puntos de la huella personal y que los datos del algoritmo no pueden ser descifrados ni desmontados por ninguna entidad no autorizada. Asimismo se aportaba el informe sobre Evaluación de impacto en el tratamiento del dato de la huella dactilar para el control de presencia de los empleados.

En relación con las cuestiones planteadas en el presente caso, en primer lugar hay que señalar que la implantación e integración de un sistema de control horario basado en la huella dactilar por parte del empleador, ha de ser informado a los empleados de manera completa, clara, concisa y, además, la citada información debe ser completada con referencia tanto a las bases legales que den cobertura a dicho tipo de control de acceso, como a la información básica a la que hace referencia en el artículo 13 del RGPD.

En el caso examinado, es cierto que no consta la respuesta del reclamado al escrito presentado por el reclamante en el que solicitaba se informase del momento en que se facilitó la información a los trabajadores del sistema de fichaje mediante huella dactilar y se reiterase tal información.

En segundo lugar, la instalación de un sistema de control basado en la recogida y tratamiento de la huella dactilar de los empleados implica el tratamiento de sus datos personales puesto que dato personal es toda aquella información sobre una persona física identificada o identificable de conformidad con el artículo 4.1 del RGPD.

En cuanto a la huella dactilar se trata, además, de datos que deben ser calificados como datos biométricos y de acuerdo con el artículo 4.14 del RGPD tienen esta consideración cuando han sido "obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos".

Esto hace que, de conformidad con el artículo 9.1 del RGPD, en el caso presente, se les aplique el régimen específico previsto para las categorías especiales de datos previsto en el artículo 9 del RGPD.

En este sentido, el considerando 51 del RGPD pone de manifiesto el carácter restrictivo con el que se puede admitir el tratamiento de estos datos:

"(51) ... Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales".

Y el considerando 52 señala que:

"(52) Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o con-trol de enfermedades transmisibles y otras amenazas graves para la salud... "

De acuerdo con estas consideraciones el tratamiento de datos biométricos de categorías especiales requerirá, además de la concurrencia de una de las bases jurídicas establecidas en el artículo 6 del RGPD, alguna de las excepciones previstas en el artículo 9.2 del RGPD.

El análisis de la base legal de legitimación para realizar este tratamiento viene del artículo 6 del RGPD, relativo a la licitud del tratamiento, que en su apartado 1, letra b) señala: "El tratamiento será lícito si se cumple al menos una de las siguientes condiciones: (...) b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales (...)".

En virtud de este precepto, el tratamiento sería lícito y no requeriría el consentimiento, cuando el tratamiento de datos se realice para el cumplimiento de relaciones contractuales de carácter laboral.

Este precepto daría cobertura también al tratamiento de datos de los empleados públicos, aunque su relación no sea contractual en sentido estricto. Hay que señalar que en ocasiones, para el cumplimiento de sus obligaciones en relación con los empleados públicos, la Administración ha de realizar tratamientos de determinados datos a los que se refiere el RGPD, en su artículo 9, como "categorías especiales de datos".

Por otra parte, y tal como pone de relieve el considerando 51 del mismo RGPD, en la medida en que los datos biométricos son de categoría especial en los supuestos de identificación biométrica (art. 9.1 RGPD), será necesario que concurra alguna de las excepciones previstas en el artículo 9.2 del RGPD que permitirían levantar la prohibición general del tratamiento de estos tipos de datos establecida en el artículo 9.1.

En este punto hay que hacer especial mención de la letra b) del artículo 9.2 del RGPD, según la cual la prohibición general de tratamiento de datos biométricos no será de aplicación cuando "el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado".

En el ordenamiento español, el artículo 20 del Texto refundido del Estatuto de los trabajadores (TE), aprobado por el Real decreto legislativo 2/2015, de 23 de octubre, prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores:

"3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad".

Y en el Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, en su artículo 54 en relación con los principios de conducta de los empleados públicos señala: "El desempleo de las tareas correspondientes a su puesto de trabajo se realzará de forma diligente y cumpliendo la jornada y el horario establecidos".

También conviene señalar que la legislación básica de régimen local atribuye al Alcalde Presidente de la Corporación la dirección del gobierno y administración municipal así como ejercer la superior dirección del personal al servicio de la administración municipal.

Es innegable la posibilidad de utilización de sistemas basados en datos biométricos para llevar a cabo el control de acceso y horario, aunque tampoco parece que sea o deba ser el único sistema que puede ser usado: así el uso de tarjetas personales, la utilización de códigos personales, la visualización directa del punto de marcaje, etc., que pueden constituir, por sí mismos o en combinación con alguno de los otros sistemas disponibles, medidas igualmente eficaces para llevar a cabo el control.

En cualquier caso, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo y teniendo en cuenta sus implicaciones, tratamiento de datos biométricos dirigidos a identificar de manera univoca a una persona física, sería preceptivo llevar a cabo una evaluación de impacto relativa a la protección de datos de carácter personal para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos de conformidad con lo señalado en el artículo 35 RGPD.

En el caso presente, hay que hacer constar que la entidad ha acreditado la preceptiva evaluación de impacto relativa a la protección de datos regulada en el artículo 35 del RGPD aportando el documento correspondiente.

VI

Los datos biométricos están estrechamente vinculados a una persona, dado que pueden utilizar una determinada propiedad única de un individuo para su identificación o autenticación.

Según el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, "Los datos biométricos cambian irrevocablemente la relación entre el cuerpo y la identidad, ya que hacen que las características del cuerpo humano sean legibles mediante máquinas y estén sujetas a un uso posterior."

En relación con ellos, el Dictamen precisa que cabe distinguir diversos tipos de tratamientos al señalar que "Los datos biométricos pueden tratarse y almacenarse de diferentes formas. A veces, la información biométrica capturada de una persona se almacena y se trata en bruto, lo que permite reconocer la fuente de la que procede sin conocimientos especiales; por ejemplo, la fotografía de una cara, la fotografía de una huella dactilar o una grabación de voz. Otras veces, la información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica."

El tratamiento de estos datos está expresamente permitido por el RGPD cuando el empresario cuenta con una base jurídica, que de ordinario es el propio contrato de trabajo. A este respecto, la STS de 2 de julio de 2007 (Rec. 5017/2003), ha entendido legitimo el tratamiento de los datos biométricos que realiza la Administración para el control horario de sus empleados públicos, sin que sea preciso el consentimiento previo de los trabajadores.

Sin embargo, debe tenerse en cuenta lo siguiente:

O El trabajador debe ser informado sobre estos tratamientos.

O Deben respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.

En todo caso, el tratamiento también deberá ser adecuado, pertinente y no excesivo en relación con dicha finalidad. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos (Dictamen 3/2012 del Grupo de Trabajo del art. 29).

O Uso de plantillas biométricas: Los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible. La plantilla deberá extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.

O El sistema biométrico utilizado y las medidas de seguridad elegidas deberán asegurarse de que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.

O Deberán utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.

O Los sistemas biométricos deberán diseñarse de modo que se pueda revocar el vínculo de identidad.

O Deberá optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.

O Los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.

VI

El artículo 83.5. b) del RGPD, considera que la infracción de "los derechos de los interesados a tenor de los artículos 12 a 22", es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, "con multas administrativas de 20.000.000Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía".

La LOPDGDD en su artículo 71, Infracciones, señala que:

"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".

La LOPDGDD en su artículo 72 indica a efectos de prescripción:

"Infracciones consideradas muy graves:

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

(...)

h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica.

(...)"

VII

No obstante, la LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica".

En el supuesto que nos ocupa y como se señalaba con anterioridad, el presente procedimiento sancionador evidencia que el reclamado no ha informado adecuadamente en relación con el control de presencia y acceso a sus instalaciones municipales mediante un sistema de huella dactilar, procedimiento arbitrado donde el afectado desarrolla su actividad.

De conformidad con las evidencias de las que se dispone dicha conducta constituye infracción a lo dispuesto en el artículo 13 del RGPD.

No obstante, el RGPD, sin perjuicio de lo establecido en su artículo 83, contempla en su artículo 77 la posibilidad de acudir a la sanción de apercibimiento para corregir los tratamientos de datos personales que no se adecúen a sus previsiones, cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos

RESUELVE: 

 

PRIMERO: IMPONER al AYUNTAMIENTO DE ***LOCALIDAD.1, con NIF P3002000B, por una infracción del aartículo 13 del RGPD, tipificada en el artículo 83.5.b) del RGPD, una sanción de apercibimiento de conformidad con el artículo 77.2 de la LOPDGDD.

SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE ***LOCALIDAD.1, con NIF P3002000B.

TERCERO : REQUERIR al AYUNTAMIENTO DE ***LOCALIDAD.1, con NIF P3002000B, para que en el plazo de un mes desde la notificación de esta resolución, acredite ante la AEPD la adopción de las medidas necesarias y pertinentes para corregir los tratamientos de datos personales que no se adecuan a la normativa en materia de protección de datos de carácter personal y evitar que vuelvan a producirse vulneraciones como las que han dado lugar a la reclamación corrigiendo los efectos de la infracción, estableciendo las medidas necesarias para adecuarse a las exigencias contempladas en el artículo 13 del RGPD.

CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.