Sanción a ayuntamiento por publicar datos médicos de una empleada municipal


AEPD 28/07/2020

Una empleada municipal interpuso reclamación contra un ayuntamiento por haber publicado en el tablón de anuncios una resolución del Pleno en la figuraban sus datos personales y médicos.

Ante estos hechos, la AEPD decidió iniciar un procedimiento sancionador por posible infracción del art. 5.1.c) RGPD.

La AEPD señala que existe habilitación legal suficiente para que las Corporaciones Locales puedan publicar los acuerdos del Pleno. No obstante, considera que no hay impedimento para que determinados datos personales puedan ser omitidos.

Así pues, decide imponer al ayuntamiento la sanción de apercibimiento al considerar que, en este caso concreto, la difusión de los datos sanitarios de la trabajadora no eran necesarios para cumplir con el deber de información de los acuerdos municipales.

Agencia Española de Protección de Datos, Resolución, 28-07-2020

Resolución del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

ANTECEDENTES DE HECHO

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 8/01/2019 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra el AYUNTAMIENTO DE FUENTES DE VALDEPERO con NIF P3407700H (en adelante, el reclamado). Los motivos en que basa la reclamación son:

"Debido a mi relación laboral con el Ayuntamiento de Fuentes de Valdepero, tuve ciertos "problemas" en mi periodo de gestación debido a la falta de evaluación de riesgos laborales y una serie de circunstancias, debido a lo cual tuve que presentar un escrito en el que figuraban no solo mis datos personales como nombre o DNI, sino también datos más sensibles, como son datos médicos y de salud. Parece ser que este tema fue tratado en una sesión ordinaria celebrada por el Pleno del Ayuntamiento de Fuentes de Valdepero el ***FECHA.1, y en el acta de esa sesión figura parte del escrito presentado por mí, en el que se pueden ver los datos personales que anteriormente comentaba. El motivo de mi reclamación es que dicho acta fue colgado en el tablón de anuncios del pueblo, y desconozco si existe alguna otra publicación del mismo. Por lo que considero que mis datos personales no han sido tratados de forma correcta y se ha producido un daño a mi honor y a mi dignidad."

Aporta copia de solicitud explicando su situación laboral y de gestación en relación con la petición de adaptación de puesto a los riesgos laborales, que se le diagnosticó amenaza de aborto y se le extendió baja médica. El escrito está fechado el ***FECHA.2

Fotos de un tablón de anuncios, acristalado y cerrado, parece que situado en la calle, pues se halla sobre una pared rustica, y contiene varias hojas en las que en alguna figura la referencia al nombre de la reclamante y al final un sello y la firma del Alcalde. Los documentos aparecen numerados por asuntos del 1 al 7. En el punto 4 se reproduce el escrito que la reclamante presenta al Ayuntamiento el ***FECHA.2

Copia impresa del acta de la sesión ordinaria celebrada por el pleno del ayuntamiento de Fuentes de Valdepero del ***FECHA.1 figurando en el orden del día en su punto 4 un debate sobre el asunto, y sobre el servicio de prevención de riesgos laborales , su separación , en relación con la reclamante. A continuación, se reproduce íntegramente la reclamación de la reclamante con todo sus datos e información. Se aprecia que el acta figura firmada y certificada por el secretario el 21/08/2018.

SEGUNDO: A la vista de los hechos manifestados, se trasladó el 15/02/2019 la reclamación al reclamado, para que informara:

1. Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.

1. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.

2. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.

4. Cualquier otra que considere relevante."

El envío a través de la plataforma electrónica notifica dio como resultado

Fecha de puesta a disposición: 15/02/2019 11:19:40 Fecha de rechazo automático: 26/02/2019 00:00:00

El rechazo automático se produce, de forma general, tras haber transcurrido diez días naturales desde su puesta a disposición para su acceso según el párrafo 2, artículo 43, de la ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas. Y de forma particular, superado el plazo establecido por la Administración actuante de acuerdo con la normativa jurídica específica que sea de aplicación.

Se reitera el traslado por la modalidad ordinaria certificada dando como resultado entregada 1/3/2019. Pese a ello, la reclamada no atendió la petición de información sobre el asunto, ni las medidas adoptadas.

TERCERO: La reclamación fue admitida a trámite por la directora de la AEPD el 19/06/2019.

CUARTO: Con fecha 14/11/2019, la directora de la AEPD acordó:

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR de APERCIBIMIENTO al AYUNTAMIENTO DE FUENTES DE VALDEPERO, con NIF P3407700H, por la presunta infracción del artículo 5.1 c) del RGPD conforme a lo dispuesto en el art. 83.5 del citado RGPD.

QUINTO: Frente al acuerdo de inicio, la reclamada en fecha 22/11/2019 indica:

-Solicitamos se relacione el registro de entrada Nº 018231/2019 con el procedimiento PS/00241/2019, pues el 16/01/2019 "recibimos una notificación sobre una reclamación ante la AEPD contra el ayto. de Fuentes de Valdepero."

"con fecha 5/4/2019, este ayto. realiza un trámite genérico de entrada a través de la sede electrónica de la AEPD con el registro 018231/2019 con informe de causas que motivaron la incidencia e informa sobre medidas adoptadas."

En el escrito con fecha de entrada 5/04/2019 la reclamada indica:

1) "Desde el comienzo de la legislatura un concejal del Ayuntamiento impugna todas las actas del pleno, y adjunta escrito que recoge lo que según su criterio no se ha reflejado correctamente en la redacción del acta". Indica que " en la sesión de julio de 2019 en dicho escrito se incluían " los datos que recoge en su reclamación" (precisar que es del 2018, 2019). El incluir dichos datos en el acta fue un grave error al no darse cuenta de los mismos y no haberlo anulado o al menos haberlos publicado simplemente con siglas lo cual desde el Ayuntamiento se reconoce sin más y piden disculpas a la agraviada.

2) Los datos estuvieron expuestos al público solamente en el tablón de anuncios del Ayuntamiento durante una semana, tiempo habitual que se mantienen las actas de los plenos.

3) Se van a llevar a cabo cursos y actuaciones para dar cumplimiento a la normativa de protección de datos. Este documento también se notifica a la reclamante.

4) Copia de otro escrito firmado por el secretario el 5/04/2019 en el que indica las causas que han motivado la incidencia de la reclamación que el 19 de julio de 2018 se celebró sesión plenaria en el Ayuntamiento y en la elaboración del acta se transcribe literalmente un asunto tratado sobre la reclamante recogiéndose datos personales y datos de salud haciendo referencia al artículo 229 del ROF y en base a una práctica de información se publicó el acta completa en el tablón de anuncios del Ayuntamiento por un periodo de 7 días.

5) Se aporta copia de otro escrito firmado el 5/04/2019 informe sobre medidas adoptadas para evitar que se produzcan incidencias similares, reconociendo el error cometido en base al principio de publicidad, y por no haber utilizado medidas adecuadas para anonimizar datos personales de categoría especial

6) Están inmersos en la implantación de la del reglamento y en la formación de personal para evitar que se vuelvan a producir incidencias similares

SEXTO: Se emite propuesta de resolución del literal:

"IMPONER a AYUNTAMIENTO DE FUENTES DE VALDEPERO, con NIF P3407700H, por una infracción del Artículo 5.1.c) del RGPD, de conformidad con el artículo 83.5 del RGPD, una sanción de apercibimiento."

HECHOS PROBADOS

1) El ayuntamiento reclamado expuso públicamente los datos de la reclamante sobre un escrito que esta presentó el ***FECHA.2

2) El escrito de ***FECHA.2 contiene los datos de la reclamante en relación con la petición que realiza de valoración de riesgos laborales dada su situación de embarazo, circunstancias del puesto que desempeña y que se halla de baja por amenaza de aborto efectuando peticiones y consultas sobre prevención de riesgos laborales.

3) En un tablón acristalado y cerrado situado en vía pública figuran según fotografías aportadas por la reclamante la copia del ACTA DE SESION ordinaria celebrada por el pleno del ayuntamiento de ***FECHA.1. En el orden del día puede leerse íntegramente el escrito de la reclamante que se haya expuesto.

4) Manifiesta la reclamada que el acta se quitó de dicho espacio, desconociendo el tiempo que ha estado expuesta, pues las fotos que aportó la reclamante del tablón no precisan la fecha de realización, si bien el acta lleva fecha de firma de 21/08/2018, la reclamante reclama el 8/01/2019.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para resolver este procedimiento.

II

Desde el punto de vista de la protección de datos, la publicación de las actas de los Plenos locales es un tratamiento de datos que podemos considerar como una comunicación, cesión, exteriorización de datos que en este caso de modo integro comprendía la solicitud de la reclamante sobre datos de salud contenida en el acta.

El artículo 9.1 del RGPD indica:

" Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física."

La Ley de bases del régimen local, dentro de su Título V "disposiciones comunes a las entidades locales" dedica el Capítulo IV a la "información y participación ciudadanas", pudiendo destacarse dentro del mismo, el artículo 70.2 cuando dispone:

"a) Los acuerdos que adopten las corporaciones locales se publican o notifican en la forma prevista por la Ley."

La regulación a que alude la Ley de Bases del Régimen Local la podemos encontrar en su norma de desarrollo, el Real Decreto 2568/1986, de 28/11, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales.

"Artículo 229.2

1. Las convocatorias y órdenes del día de las sesiones del Pleno se transmitirán a los medios de comunicación social de la localidad y se harán públicas en el Tablón de Anuncios de la entidad.

2. Sin perjuicio de lo dispuesto en el artículo 70.2 de la Ley 7/1985, de 2/04, la Corporación dará publicidad resumida del contenido de las sesiones plenarias y de todos los acuerdos del Pleno y de la Comisión de Gobierno, así como de las resoluciones del Alcalde y las que por su delegación dicten los Delegados."

Existe por tanto en la normativa local habilitación legal suficiente para la publicación de las actas de las sesiones. No obstante, otro de los principios básicos del derecho fundamental de protección de datos es el de minimización de datos, a que se refiere el artículo 5.1 c) del RGPD que indica:

"1. Los datos personales serán:

"c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;"

El hecho de que las sesiones sean públicas, en cuanto a su asistencia, no significa, no al menos necesariamente, que todas los acuerdos y resoluciones del mismo deban hacerse igualmente públicos en su totalidad.

No concretando cual deba ser ese resumen que puede ser publicado de las sesiones plenarias, no hay mandato legal para que dicho resumen deba ofrecer el mismo contenido que para las actas previene el artículo 109, y tampoco por lo tanto, la parte dispositiva de los acuerdos que se adopten, y por otra, el núcleo esencial del derecho de información de los vecinos queda intacto en cuanto los mismos siempre e independientemente de la publicación de dicho resumen, pueden ejercer directamente el derecho de acceso a la información.

El "resumen" al que hace referencia dicho precepto aconseja eliminar del mismo aquellos datos de carácter personal que no sean adecuados, pertinentes y resulten excesivos con la finalidad de ofrecer una información "genérica" a los vecinos, y mucho menos deben contener datos de carácter personal de categorías especiales como los del artículo 9.1 del RGPD.

III

El artículo 83.5 a) del RGPD, considera que la infracción de "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9" es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, con multas administrativas de 20.000.000 Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía."

No obstante, el artículo 83.7 del RGPD, indica:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro"

El artículo 58.2 del RGPD indica: "Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

El ordenamiento jurídico español ha optado por no sancionar con multa a las entidades públicas, tal como se indica en el artículo 77.1. c) y 2. 4. 5. y 6. de la LOPDDGG: "1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción."

El artículo 72 de la LOPDDGG indica:

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679."

Entre los poderes correctivos que contempla el artículo 58 del RGPD, en su apartado 2 d) se establece que cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado...".

Se manifiesta por la reclamada que quitó el documento y está tomando medidas sobre protección de datos, por lo cual no se exigirá medida adicional a implementar.

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a AYUNTAMIENTO DE FUENTES DE VALDEPERO, con NIF P3407700H, por una infracción del Artículo 5.1.c) del RGPD, de conformidad con el artículo 83.5 del RGPD, una sanción de apercibimiento.

SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE FUENTES DE VALDEPERO.

TERCERO : COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

TERCERO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,>

o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.