Sanción a ayuntamiento por no responder a la solicitud de supresión de datos personales de un particular


AEPD 07/10/2021

Se interpuso reclamación contra un ayuntamiento por no responder a una solicitud de supresión de datos personales obrantes en un boletín de denuncia.

La AEPD considera probado que los agentes de policía realizaron una foto al D.N.I de la denunciada. Asimismo, que el ayuntamiento no respondió a la solicitud de supresión de estos datos personales.

Por este motivo, le impone una sanción de apercibimiento y le requiere para que, en el plazo de 15 días, comunique a este organismo las medidas que ha adoptado para garantizar un adecuado tratamiento de estos datos y la respuesta a la supresión de los mismos.

Agencia Española de Protección de Datos, Resolución, 7-10-2021

ANTECEDENTES DE HECHO 

 

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 31/01/2020 interpuso reclamación ante la Agencia Española de Protección de Datos que se dirigen contra AYUNTAMIENTO DE SANTA POLA con NIF P0312100A (en adelante, el reclamado). Los motivos en que basa la reclamación son que ha ejercitado el derecho de supresión de sus datos, sin que se le haya contestado y que se recogieron sus datos con motivo de la imposición de una sanción administrativa, haciendo fotografía de su DNI a través de un teléfono móvil por parte de un Agente de Policía Local.

Aporta:

a) Copia de escrito que remitió el 8/12/2019, al Delegado de protección de datos en el que relata que el 5/09/2019, se le impuso una multa por incumplimiento de ordenanza de convivencia ciudadana en el espacio publico, y que durante la identificación, "al menos uno de los agentes realiza con su teléfono móvil personal fotografías a mi DNI", y que advirtió a los agentes que ello excede el deber de identificación y que borraran las fotografías. Manifiesta que en días posteriores recibió en su domicilio "nuevos boletines de denuncia" y que "sospecho se realizaron a posteriori basándose presuntamente en las fotografías almacenadas", ya que "no se encontraba en la localidad el 7/09, día que figura como en que se produce la nueva sanción", y así figura en las alegaciones que el presentó. En el escrito, además de referirse a las medidas de seguridad de la recogida y almacenamiento de los datos, solicita "se libre oficio a los agentes" e "informen sobre los datos personales sobre mi persona obtenidos mediante identificación el pasado 5/09/2019, así como la finalidad del tratamiento de datos personales, su correcta gestión y tramitación en el ámbito de la competencias municipales y clarificar si estos se encuentran o no en sus teléfonos móviles", y expresamente se supriman los datos.

b) Copia de formulario de derecho de supresión de datos frente al reclamado, firmado el 8/12/2019.

Copia "acta denuncia" "administrativa" de la Policía Local de 5/09/2019, infracción del artículo 66.2.1 ordenanza municipal de convivencia ciudadana, constando anotado a mano su numero de DNI, así como el resto de los datos. En el apartado- casilla para marcar del literal: "el denunciado no desea firmar, rechazando la notificación de la denuncia, se le entrega copia a efectos de notificación", no figura marcación alguna. Si pone que "se le informa" en el apartado de firma denunciado. En observaciones figura: "el denunciante desobedece en todo momento las indicaciones de los agentes, se niega a abandonar la zona e intenta acceder a zona de seguridad delimitada por los agentes tras una detención". En el hecho denunciado "desobedecer los mandatos de la autoridad o de sus agentes dictada en directa aplicación de lo dispuesto en la ley 4/2015 de protección de la seguridad ciudadana cuando no constituya infracción penal".

En el literal informativo de Protección de Datos del impreso consta: "según la Ley Orgánica 15/99 LOPD, se informa que sus datos personales han sido recabados de los boletines de denuncia, figuran en los ficheros de este Organismo y no serán cedidos salvo en los casos previstos en la ley. Los datos recabados se integrarán en nuestros ficheros con la finalidad de disponer de la información de los infractores y los hechos sancionados procedentes del expediente sancionador incoado y gestionar el abono de la multa. Podrá ejercitarse sus derechos de acceso, rectificación, cancelación y oposición mediante comunicación escrita dirigida a..."

c) Copia "acta denuncia" "administrativa" de la Policía Local de 7/09/2019, ordenanza municipal de convivencia ciudadana, en la misma dirección que la del día 5, constando anotado a mano su numero de DNI y los datos del reclamante, en denuncia formulada por otro agente distinto. En el apartado de firma del denunciado figura "se le informa". El literal informativo es el mismo que el anterior acta.

SEGUNDO: Con fecha 4/03/2020 el reclamante presenta escrito en el que manifiesta que el reclamado le ha respondido el 4/03/2020 indicando que "no disponen de delegado de protección de datos". Aporta copia del escrito del reclamado.

TERCERO: Con fecha de 3/06/2020 (expediente E/02584/2020) debido a la suspensión de los plazos del estado de alarma, se da traslado de la reclamación al Ayuntamiento, que no respondió.

CUARTO: Con fecha de 31/08/2020, sin que se haya recibido escrito de respuesta del reclamado, se acuerda admitir a trámite la reclamación presentada por el reclamante, notificándola a las dos partes.

QUINTO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por el reclamante la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD).

Se remite escrito al reclamado el 2/10/2020, solicitando explicación de:

  • -Motivos por lo que no se ha atendido el ejercicio de derechos realizado por el reclamante.
  • -Informar sobre el tratamiento de datos personales empleando los terminales móviles de los agentes. Responsable y objeto del tratamiento, almacenamiento, seguridad de los datos.

La petición se reitera y queda notificada el 28/01/2021, sin ser atendida. Nuevamente el 12/03/2021 se solicita:

  • - Informar de si ya ha sido designado Delegado de Protección de Datos del Ayuntamiento.
  • - Informar de la contestación facilitada por ese Ayuntamiento al reclamante ante el ejercicio de derecho de acceso a sus datos personales.
  • - Informar sobre el tratamiento de datos personales empleando los dispositivos móviles de los agentes, concretamente:
    • a. Especificar si los dispositivos móviles son corporativos y administrados y supervisados por el Ayuntamiento, o privados de los agentes.
    • b. Indicar el responsable del tratamiento y objeto del tratamiento.
    • c. Procedimiento de traspaso de los DNI fotografiados a los sistemas del Ayuntamiento: correo electrónico, conexión directa del dispositivo a un ordenador, app específica instalada en el dispositivo, etc.
    • d. Indicar las medidas implementadas para la seguridad de los datos tratados: supervisión por el ayuntamiento de DNI almacenados en los dispositivos móviles, seguridad de los dispositivos, tiempo de almacenamiento, etc.

A las peticiones formuladas no se recibió respuesta alguna.

SEXTO: Con fecha 11/06/2021 la Directora de la AEPD acordó

INICIAR PROCEDIMIENTO SANCIONADOR al AYUNTAMIENTO DE SANTA POLA, con NIF P0312100A, por las presuntas infracciones de los artículos:

-32 del RGPD, conforme determina el artículo 83.4.a) del RGPD. -15 del RGPD, conforme determina el artículo 83.5.b) del RGPD. -17 del RGPD, conforme determina el artículo 83.5.b) del RGPD,

-37 del RGPD en relación con el 37.3 y .4 de la LOPDGDD, conforme determina el artículo 83.4.a ) del RGPD.

-13 del RGPD, conforme determina el artículo 83.5 b) del RGPD. No se reciben alegaciones del reclamado.

HECHOS PROBADOS

1) El 5/09/2019, al reclamante se le impuso por agentes del reclamado una multa por incumplimiento de ordenanza de convivencia ciudadana en el espacio publico, y durante la identificación, según el reclamante, "al menos uno de los agentes realiza con su teléfono móvil personal fotografías a SU DNI", en observaciones del boletín de denuncia figura también que "el reclamante desobedece las indicaciones de los agentes, negándose a abandonar la zona e intentar acceder a zona de seguridad delimitada por los agentes tras una detención".

2) El boletín de denuncia de 5/09/2019, contiene los datos del reclamante anotados por el agente actuante, incluyendo sus datos personales y DNI. En otro boletín de otra denuncia de 7/09/2019 referida por el reclamante, también se contienen sus datos de la misma forma.

3) Se subraya que en los boletines de denuncia se hace mención de la LOPD, se indica la inexactitud del origen de los datos al señalar que "sus datos personales han sido recabados de los boletines de denuncia". El literal informativo de protección de datos no está adecuado al RGPD, al no señalarse entre otros el plazo de conservación de datos, el derecho de supresión o la base legitimadora, por señalar algunos.

4) El reclamante aportó copia de escrito dirigido al reclamado el 8/12/2019 en el que exponiendo los antecedentes, solicita: "informen sobre los datos personales sobre mi persona obtenidos mediante identificación el pasado 5/09/2019, así como la finalidad del tratamiento de datos personales" "expresamente se supriman los datos."

No consta respuesta alguna a sus peticiones.

5) Con fecha 4/03/2020 el reclamante presenta escrito en el que el reclamado le ha respondido el 4/03/2020, indicando que "no disponen de delegado de protección de datos", "su escrito se traslada directamente a la Policía Local".

FUNDAMENTOS DE DERECHO 

 

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

La toma de la fotografía del DNI por parte de un agente para la imposición de sanciones administrativas supone por parte del reclamado una infracción del artículo 32 del RGPD que indica:

"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros."

El Considerando 74 del RGPD indica: "Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas."

El artículo 83 del RGPD señala: "4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;"

Referencia a su plazo de prescripción se establece en el artículo 73 de la LOPDGDD:

"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679."

El reclamado no ha atendido las razones por las que Agentes que prestan servicio en su organización, y los cuales deben conocer y estar instruidos en su relación con los datos personales que utilizan, manejaron sus propios dispositivos y lo hicieron para recabar el DNI, cuando además aparece anotado en el propio boletín de denuncia, que supuestamente se confecciona en presencia del identificado en ese instante.

Tales hechos constituyen infracción, al incumpliese en relación con los mismos el artículo 32 del RGPD referenciado.

El reclamado deberá contemplar expresamente instrucciones sobre el uso de dispositivos móviles o de cualquier otro tipo que permita grabar o recoger datos de ciudadanos por parte de los agentes o dar explicaciones sobre el cumplimiento de estas medidas. En el requerimiento que se impone en esta parte dispositiva, ha de dar respuesta a las medidas que en relación a esta cuestión haya adoptado.

III

La falta de atención del derecho de acceso y de supresión, se regula en los artículos 15 y 17 del RGPD, que indican:

"Artículo 15 Derecho de acceso del interesado

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros".

Artículo 17 "Derecho de supresión"

"1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

e) para la formulación, el ejercicio o la defensa de reclamaciones".

El artículo 12.2 y .3 del RGPD indica: "2.El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22... "

"3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, sin dilación indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud."

La infracción figura referenciada en el RGPD, artículo 83:

"5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

b) los derechos de los interesados a tenor de los artículos 12 a 22"

Su prescripción figura referida en la LOPDGDD, artículo 72.1.k) que determina:

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679."

El reclamado no atendió el derecho del reclamante, ni ha dado razón alguna en el traslado que antes del acuerdo de inicio se hizo, omitiendo cualquier respuesta.

Se acredita la comisión de la infracción, debiendo el reclamado proceder a dar respuesta a su petición.

IV

Las Administraciones públicas actúan en este caso como responsables de tratamientos de datos de carácter personal, por lo que les corresponde, siguiendo el principio de responsabilidad proactiva, atender las obligaciones que el RGPD detalla, entre las que se incluye, la obligación de nombrar a un delegado de protección de datos y comunicarlo a esta AEPD.

La obligación viene impuesta por el artículo 37 del RGPD, que indica:

"1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;"

El articulo 37.3 y 4 del RGPD señala sobre la designación del DPD "Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados."

La LOPDGDD determina en su artículo 34.1 y 3: "Designación de un delegado de protección de datos"

"1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria."

La infracción se contempla como tal en el artículo 83 del RGPD que señala: "4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;"

En cuanto a la prescripción, el artículo 73 de la LOPDGDD señala: "En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica."

El reclamado deberá informar sobre la designación del DPD.

V

Por la inadecuación en la cláusula informativa que además de referirse a la LOPD 15/1999 no contiene los elementos que el RGPD establece, la reclamada ha podido vulnerar el artículo 13 del RGPD que indica:

El artículo 13 del RGPD, relativo a la información que deberá facilitarse cuando los datos se obtengan del interesado, establece que:

"1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información."

Reglas que se completan con el artículo 11 de la LOPDGDD, que indica:

"1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679."

Los hechos se encuadran en las infracciones determinadas en el artículo 83.5.b) del RGPD, y a efectos de prescripción, en la LOPDGDD, artículo 72.1, que los califica como muy grave en la letra "h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica."

Deberá el reclamado adecuar la información que proporciona en los boletines de denuncia.

VI

El artículo 58.2 del RGPD indica: "Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado".

En este sentido, se observa del reclamado una deficiente colaboración con la autoridad de control tanto en la fase de traslado como en actuaciones previas y en el procedimiento, que no ha esclarecido punto alguno pese a las reiteraciones en los escritos. Ello, a pesar de ser advertido expresamente en actuaciones previas. considerando que la autoridad de control esta facultada por el articulo 58.1 del RGPD "a ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;", pudiendo, el incumplimiento de esa obligación comportar la comisión de una infracción tipificada en el art. 83.5.e) del RGPD, consistente en no facilitar acceso en incumplimiento del artículo 58, apartado 1, que se sancionará, de acuerdo con el art. 58.2 del RGPD.

Si bien las infracciones cometidas, no implican sanción pecuniaria, artículo 77.1 c) y 2 de la LOPGDD:

1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las Comunidades autónomas y las entidades que integran la Administración Local.

2 "Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso."

Si que se establece una eventual deriva de responsabilidad que el reclamado debería tener en cuenta a efectos del cumplimiento de las medidas que en esta resolución se imponen, citándose en el párrafo 3 del mismo artículo 77:

"Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda."

Por otro lado, el artículo 77 se completa con:

"4.Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5.Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo."

El reclamado deberá detallar respecto de cada infracción las medidas adoptadas. Por lo tanto, de acuerdo con la legislación aplicable,

FALLO 

 

PRIMERO: DIRIGIR a AYUNTAMIENTO DE SANTA POLA, con NIF P0312100A, un apercibimiento por las infracciones de los artículos:

-32 del RGPD, conforme determina el artículo 83.4.a) del RGPD.

-15 del RGPD, conforme determina el artículo 83.5.b) del RGPD.

-17 del RGPD, conforme determina el artículo 83.5.b) del RGPD.

-37 del RGPD en relación con el 37.3 y .4 de la LOPDGDD, conforme determina el artículo 83.4.a ) del RGPD.

-13 del RGPD, conforme determina el artículo 83.5 b) del RGPD.

SEGUNDO: De acuerdo con el artículo 58.2 d) del RGPD, cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado...".

Se concede un plazo de 15 días para que informe de las medidas adoptadas respecto a cada infracción, entre las que deberá contenerse la respuesta al reclamante al ejercicio de sus derechos.

El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58 apartado dos, se sancionará de acuerdo con lo que establece el artículo 83.6 del RGPD, y de acuerdo con la LOPDGDD, artículo 72.2, su plazo de prescripción sería de tres años.

TERCERO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE SANTA POLA.

CUARTO : COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

QUINTO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,> o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1/10. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.