Sanción a ayuntamiento por publicar el NIF de un cargo público municipal


AEPD 27/07/2021

Se presentó reclamación ante la AEPD contra un ayuntamiento por haber dado a conocer en prensa digital y en prensa escrita los datos del reclamante, cargo público de la corporación, junto a su NIF, en un informe de auditoría realizado por el ayuntamiento en relación al acceso a una aplicación informática municipal.

La AEPD impone una sanción de apercibimiento al ayuntamiento por haber expuesto el NIF del reclamante, dato personal que no tiene nada que ver con su posición pública. Y señala que su difusión era innecesaria para la finalidad pretendida, que pudo haber sido tachado, eliminado u omitido consiguiendo el mismo efecto, y que por falta de diligencia salió del ámbito del responsable.

Agencia Española de Protección de Datos, Resolución, 27-07-2021

ANTECEDENTES DE HECHO 

 

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 29/06/2020 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra el AYUNTAMIENTO DE ***AYUNTAMIENTO.1 con CIF P3737900E (en adelante, el reclamado). Los motivos en que basa la reclamación son la exposición de sus datos en dos medios de difusión de la provincia de Salamanca, uno en papel y otro en digital, que fueron comunicados por la alcaldesa del Ayuntamiento de ***AYUNTAMIENTO.1.

Aporta:

-Archivo conteniendo la referencia al diario digital, "***DIARIO.1" sección "***SECCIóN.1", de ***FECHA.1 , en el que figura: "200 ESCRITOS REGISTRADOS POR LA OPOSICIÓN EN UN AÑO. La alcaldesa de ***AYUNTAMIENTO.1 rechaza las acusaciones vertidas por el PSOE sobre "oscurantismo y justifica la no celebración de plenos ordinarios"." Tras la nota difundida ayer lunes por el PSOE en relación a la situación que viven los Concejales socialistas en el Ayuntamiento de ***AYUNTAMIENTO.1, la alcaldesa XXX B.B.B. ha querido salir al paso... .

Figura sobre "la no celebración de plenos ordinarios desde el 29 de agosto pasado, la regidora recuerda...

Bajo el apartado "Retirada del acceso a XXXXXX" en cuanto la retirada del acceso al programa de XXXXXX, de acceso a los documentos de entrada y salida del Ayuntamiento, "B.B.B. recuerda que tras su toma de posesión dio acceso a este programa a la oposición "y mi sorpresa fue que empezó a venir gente ajena al Ayuntamiento, vecinos -por supuesto- y que tienen derecho a la información, a preguntar sobre cuestiones que yo acababa de conocer en ese momento y que habían sido registradas en el Ayuntamiento dos horas antes". Descartados los funcionarios municipales, "hicimos una auditoria y vimos que del 24 de junio al 9 de julio, el concejal del XXX, (al que se identifica con nombre y primer apellidos) había entrado al programa 800 veces, e incluso había accedido a documentos personales como la declaración de bienes que hicimos los miembros de la Corporación". B. B.B. reconoce que le dio de buena fe acceso a todo el programa XXXXXX pero que una vez visto lo sucedido se le ha dejado lo mínimo que marca la ley."

"A.A.A. asegura que "la mayoría de las entradas tienen que ser de segundos".

"Sobre las acusaciones a A.A.A. de un posible uso indebido del programa XXXXXX, el concejal no negó el número de entradas, aunque justificó la cifra en el sistema de acceso, que "te obliga a varias entradas para llegar a un documento, por eso muchas de ellas tienen que ser de unos segundos", aseveraba."

"Para A.A.A., tener acceso a XXXXXX es el único método para poder enterarnos de lo que pasa en el Ayuntamiento: de quejas o solicitudes de los vecinos, resoluciones judiciales, subvenciones y mucha información que desde Secretaría se nos oculta a raíz de la apertura del expediente", un procedimiento que, por otro lado, no tuvo recorrido por varias deficiencias en su inicio.

En cuanto al acceso de documentos personales, A.A.A. señala que "yo he entrado a los sitios en los que tenía acceso, por lo que la culpa no es mía. La culpa es de la secretaria porque fue ella quien introdujo ese documento en un sitio que no tenía que estar".

Figura junto a la noticia una fotografía de una hoja titulada: "informe de auditoría del usuario..." detallando el nombre y apellidos del reclamante con su NIF, con el logo del Ayuntamiento de ***AYUNTAMIENTO.1"," entradas de auditoría registradas desde el 24/06/2019 hasta el 9/07/2019 "listando los accesos del reclamante en lo que sería una primera página, indicando si entra o no, y las consultas que realiza. Al pie de la imagen figura "primera página de la auditoría sobre las entradas de datos del reclamante- al programa XXXXXX".

Clicando el enlace que figura en la "nota difundida ayer lunes por el XXX" lleva a una noticia de ***FECHA.2, "DENUNCIAN OBSTRUCCIÓN A LA LABOR DE OPOSICIÓN. El XXX lleva ante las Cortes la gestión del equipo de Gobierno del XXX en el Ayuntamiento de ***AYUNTAMIENTO.1"Los Procuradores socialistas por ***LOCALIDAD.1 registran en la Cámara autonómica una interpelación a la Junta en la que denuncian "opacidad, ocultismo y falta de transparencia" ante diez meses sin plenos ordinarios!", refiriéndose a los Procuradores del XXX de ***LOCALIDAD.1 en las Cortes de Castilla y León que han denunciado irregularidades en la gestión del equipo de Gobierno del XXX en el Ayuntamiento de ***AYUNTAMIENTO.1 porque lleva casi 10 meses sin convocar los plenos municipales ordinarios a los que está obligada por ley y por un acuerdo plenario aprobado por ese mismo Ayuntamiento cada dos meses".

Añade que "a ello se suma la permanente actitud de obstrucción y obstaculización que mantiene desde el comienzo de la legislatura del equipo de Gobierno del PP quien además de negar el acceso a la aplicación XXXXXX al principal grupo de la oposición, el grupo socialista, y que la Junta pone al servicio de la administraciones locales y cargos públicos para la consulta abierta de datos e información, se negó a facilitar la documen tación que se le solicita a la que tienen derecho los concejales socialistas y está obliga da a entregar en los plazos reglamentados, a contestar a cualquier tipo de pregunta realizada por cualquiera de los conductos o las vías estipuladas y también "al acceso a la entrada del registro municipal aseguran los socialistas."

-En la segunda noticia, se trata de una foto de la prensa escrita, diario ***DIARIO.2, sección provincia, martes ***FECHA.1, en la que se informa con el titular: "XXXXXX controlar a la secretaria" figura en el titular el nombre del reclamante como edil XXXXXX de ***AYUNTAMIENTO.1, y refiere que "acumuló en 15 días todas estas entradas a la plataforma municipal , se le retiró la licencia y ahora el XXX denuncia ante la Junta el oscurantismo del consistorio" .

En la noticia se indica que el reclamante accedió en 800 ocasiones a la plataforma municipal en sólo 15 días "siendo la única forma de controlar lo que hace la secretaria afirmó ayer a ***DIARIO.2 el Concejal". También recoge otras afirmaciones del reclamante de la aplicación informática XXXXXX.

Hace referencia a que estos datos se desprenden de la consultoría dada a conocer ahora por el Ayuntamiento que encabeza la alcaldesa del XXX B.B.B.y que motivó la baja de su autorización de acceso a la misma. También se recoge que cuando tomó el mando del Ayuntamiento, "se le volvió a dar acceso a XXXXXX a la oposición aunque poco tiempo después empezamos a ver movimientos y solicitudes de información poco habituales en el consistorio por parte de particulares por lo que solicitamos la auditoría que puso en evidencia al que fuera XXXXXX, con el XXX, A.A.A.". La noticia indica que "en la auditoría se ve claramente como el socialista reclamante había realizado entre las dos fechas antes señaladas una media de 50 accesos diarios a XXXXXX con múltiples descargas de documentos internos del consistorio. Ante una situación que ponía en peligro la debida Protección de Datos del consistorio se decidió tras hablar con el concejal socialista cerrar los accesos a la plataforma para evitar males mayores afirmó ayer B.B.B."

SEGUNDO: Con carácter previo a la admisión a trámite de esta reclamación, se trasladó al reclamado, en fecha 14/07/2020, de conformidad con lo establecido en el artículo 65.4 de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), en las actuaciones con referencia E/05811/2020, para que informara sobre:

1. La decisión adoptada a propósito de esta reclamación.

2. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.

3. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares, fechas de implantación y controles efectuados para comprobar su eficacia.

La notificación a través de notificación electrónica figura entregada, el día 15/07/2020. Transcurrido el tiempo otorgado, no se atendió la petición.

TERCERO: Con fecha 16/10/2020, se acuerda la admisión a trámite de la reclamación

CUARTO: Con fecha 4/01/2021 la Directora de la AEPD acordó:

"INICIAR PROCEDIMIENTO SANCIONADOR de apercibimiento al AYUNTAMIENTO DE ***AYUNTAMIENTO.1, con CIF P3737900E, por una presunta infracción del artículo 5.1.f) del RGPD en relación con el artículo 5 de la LOPDGDD, de conformidad con el artículo 83.5.a) del RGPD."

No se recibieron alegaciones

QUINTO: Con fecha 9/06/2021 se emitió PROPUESTA DE RESOLUCIÓN del literal:

"Que por la Directora de la Agencia Española de Protección de Datos se sancione con apercibimiento a AYUNTAMIENTO DE ***AYUNTAMIENTO.1, con CIF P3737900E, por una infracción del artículo 5.1.f) del RGPD, en relación con el artículo 5 de la LOPDGDD, de conformidad con el artículo 83.5 a) del RGPD.”

No se recibieron alegaciones.

HECHOS PROBADOS

1) En el curso de un debate en la prensa entre el PSOE y la alcaldesa del Ayuntamiento de ***AYUNTAMIENTO.1, esta, para responder a las manifestaciones realizadas anteriormente por aquel, en relación con la situación que viven los concejales socialistas del ayuntamiento, en el diario digital "Las arribes al Día" y en un diario de prensa escrita, el ***FECHA.1, da a conocer los datos del reclamante junto a su NIF, en un informe de auditoria, consistente en las veces que entra en la aplicación XXXXXX del Ayuntamiento.

2) Según relata la noticia, el reclamante, XXXXXX del XXX, así como el resto de los concejales, tenían acceso a la aplicación XXXXXX que da acceso a los documentos de entrada y salida del Ayuntamiento, comprobando que al poco tiempo de presentarse los escritos, terceras partes ajenas al asunto estaban enteradas, por lo que el Ayuntamiento decidió efectuar un auditoría. Indica que el reclamante, al que identifica con nombre y apellidos, como XXXXXX del XXX había entrado al programa 800 veces, siendo el uso del resto de concejales del PSOE normal, con varias entradas. "Para el reclamante tener acceso a XXXXXX es el único método para poder enterarnos de lo que pasa en el Ayuntamiento, de quejas o solicitudes de los vecinos, resoluciones judiciales, subvenciones y mucha información" "En cuanto al acceso de documentos personales, ...señala que "yo he entrado a los sitios en los que tenía acceso..."

3) En el diario en papel, ***DIARIO.1 de ***FECHA.1, se contienen también los datos del reclamante, XXX XXXXXX de ***AYUNTAMIENTO.1, se informa de la acumulación de consultas en la plataforma municipal, se le retiró la licencia . Se indica que el resto de las concejales entraron en el mismo período de tiempo una media de menos de cinco ocasiones por edil , "afirmó la alcaldesa", y el reclamante afirma que "cada documento y pagina que consultas marca una entrada que no es lo mismo que accesos a la aplicación". La alcaldesa aseguró que "cuando tomo el mando del ayuntamiento se le volvió a dar a acceso a XXXXXX a la oposición","aunque poco tiempo después empezamos a ver movimientos y solicitudes de información poco habituales en el consistorio por parte de particulares por lo que solicitamos la auditoria que puso en evidencia..."el reclamante había hecho una media de 50 accesos diarios a XXXXXX" y que las consultas ocupan 35 folios.

FUNDAMENTOS DE DERECHO 

 

I

Es competente para resolver este procedimiento la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el art. 58.2 del RGPD y en los art. 47 y 48.1 de LOPDGDD.

II

El RGPD define en su artículo 4:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;"

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

4) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

En las noticias que aparecen en los medios figuran los datos del XXX XXXXXX, reclamante, con su nombre y apellidos referido como representante público elegido en la corporación, con responsabilidades publicas.

Por esa condición, parece que se habilitó en su día el acceso a una aplicación informatica que contiene las entradas y salidas de escritos de los vecinos de la localidad, empresas y cualquier documento referido en general a competencias del ayuntamiento.

Sobre las posibilidades, limites y requisitos de acceso a la información que puedan tener los Concejales, subsidiariamente a información que contenga datos de carácter personal de los vecinos, por la realización de sus funciones, existen informes en la web de la AEPD, así como de la Agencia Vasca de Protección de Datos (AVPD) . A titulo de ejemplo, por todos, serviría de la AVPD, el Dictamen relativo a las solicitudes de acceso de los Concejales a los registros de entradas y salidas del ayuntamiento, CN16-006, de 31/03/2016, con los previsibles ajustes que se deberían referir al RGPD y LOPDGDD en vez de a la LOPD.

Sin embargo, este procedimiento no guarda relación con esos accesos, si bien debería haber acomodado ya el Ayuntamiento su conducta proactiva hace tiempo a la limitación de acceso a la información a la que se precisa para el desarrollo de las funciones, en este caso de los Concejales.

El dictamen, además, de indicar que se puede producir acceso a datos de carácter sensible sin una justificación real ni necesidad alguna, concluye que por defecto no se otorgue un derecho indiscriminado a acceder a la base de datos de registro de entradas y salidas, y que la finalidad de este no es su acceso como regla general o como medio de conocer lo que sucede en el Ayuntamiento.

Sin embargo aquí no se valora la modalidad de acceso dada a los Concejales sino las manifestaciones realizadas en prensa conteniendo datos personales del reclamante, por lo que se imputa al Ayuntamiento reclamado, una infracción del artículo 5.1.f) del RGPD que indica:

1. Los datos personales serán:

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Obligación que se concreta en el artículo 5 de la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), que precisa:

"1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679 .

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento."

En el presente caso, lo que se valora es la constancia en las noticias publicadas, no del nombre y apellidos del reclamante, asociado a su condición de XXX XXXXXX del Ayuntamiento, que tenía acceso a XXXXXX, por ser una persona de carácter público. En este aspecto se cuenta con que sus datos cederían al tratarse o venir referidos en unos medios de información, ofreciendo su perfil público, derivado de su propia actuación en el ejercicio de sus funciones, y en una noticia relevante y de interés general. No se trata solo de eso, sino que para apuntalar la noticia, el Ayuntamiento, que efectuó una auditoría con los logs de acceso en la aplicación XXXXXX, expone en uno de los diarios, la portada de la auditoría con el NIF del reclamante, dato personal que no tiene nada que ver con su posición publica en el debate planteado. Este es el motivo y fundamento que supone la infracción imputada, sin entrar a valorar como se ha dicho el acceso otorgado y sus condiciones. Dato de carácter personal identificativo que se difunde, innecesario para la finalidad pretendida, que pudo haber sido tachado, eliminado u omitido consiguiendo el mismo efecto. Dato que debía haber permanecido secreto y no revelado, y que por falta de diligencia salió del ámbito del responsable.

III

El artículo 83.5 a) del RGPD, considera que la infracción de "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9" es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, con multas administrativas de 20.000.000 Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía."

El artículo 72.1 a) de la LOPDGDD indica:

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679."

El artículo 83.7 del RGPD indica:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."

El artículo 58.2 del RGPD indica:

"Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado".

El ordenamiento jurídico español ha optado por no sancionar con multa a las entidades públicas, tal como se indica en el artículo 77.1. c) y 2. 4. 5. y 6. de la LOPDDGG: "1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción."

Por lo tanto, de acuerdo con la legislación aplicable,

la Directora de la Agencia Española de Protección de Datos

FALLO 

 

PRIMERO: IMPONER al AYUNTAMIENTO DE ***AYUNTAMIENTO.1, con CIF P3737900E, por una infracción del artículo 5.1.f) del RGPD, de conformidad con el artículo 83.5 a) del RGPD, y el artículo 72.1.a) de la LOPDGDD, una sanción de apercibimiento.

SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE ***AYUNTAMIENTO.1.

TERCERO : COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

CUARTO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,> o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.