Sanción a ayuntamiento por publicar en el BOP datos personales de sus agentes de policía local


AEPD 02/02/2022

Se interpone reclamación contra un ayuntamiento por la publicación en el BOP de una resolución de alcaldía sobre sobre el sistema provisional de organización de servicios de Policía Local del municipio, en la que constan nombre y apellidos, así como el indicativo policial asociado a cada uno de los agentes de toda la plantilla, y los grupos de trabajo de los que formará parte cada agente.

La AEPD impone al ayuntamiento una sanción de apercibiendo por la infracción del art. 5.1.f) RGPD al haber quedado demostrado que los datos personales de los componentes de la plantilla de la policía local han quedado accesibles a terceros, siendo además que los nombres y apellidos son datos que no deberían haberse publicado de conformidad con lo establecido en el art. 13 del Decreto 250/2007, por el que se establece la uniformidad de las Policías Locales de Andalucía

Asimismo, le impone sanción de apercibiendo por la infracción del art. 32 RGPD al entender que el hecho de haber publicado conjuntamente los nombres y apellidos de los policías junto con su número de identificación profesional indica que el ayuntamiento no contaba con las medidas técnicas y organizativas apropiadas. Asimismo, al publicar los cuadrantes de trabajo y grupos de trabajo, se asocia a cada policía con la prestación de sus servicios en un momento determinado, lo que supone un riesgo personal adicional.

Agencia Española de Protección de Datos, Resolución, 2-02-2022

ANTECEDENTES 

 

PRIMERO: A.A.A., B.B.B., C.C.C., D.D.D., E.E.E., F.F.F., G.G.G., H.H.H., I.I.I., J.J.J., L.L.L., M.M.M., N.N.N. y O.O.O., y en su nombre y representación P.P.P., abogado del ICAS, con numero de colegiado ***NÚMERO.1 (en adelante, la parte reclamante), con fecha 18 de noviembre de 2020 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE MARCHENA con NIF P4106000E (en adelante, AYUNTAMIENTO). Los motivos en que basa la reclamación son los siguientes:

El día 20/08/2020 se publicó en el BOP nº 193 de Sevilla, Resolución de Alcaldía sobre el sistema provisional de organización de servicios de Policía Local de Marchena. Dicha resolución publica el nombre y apellidos, así como el indicativo policial asociado a cada uno de los agentes de toda la plantilla, así como los grupos de trabajo de los que formará parte cada agente.

Literalmente la resolución señala:

"Que en relación a la facultad expresa de adoptar decisión que al leal saber y entender del que suscribe considere éste más idónea para la formación de los grupos que se determinan en el cuadrante, se procede a la configuración de los nuevos grupos, quedando éstos de la siguiente forma:

a) El grupo de trabajo número 1 se compondrá de los siguientes agentes de Policía Local: ***GRUPO.1.

b) El grupo de trabajo número 2 se compondrá de los siguientes agentes de Policía Local: ***GRUPO.2.

c) El grupo de trabajo número 3 se compondrá de los siguientes agentes de Policía Local: ***GRUPO.3.

d) El grupo de trabajo número 4 se compondrá de los siguientes agentes de Policía Local: ***GRUPO.4.

e) El grupo de trabajo número 5 se compondrá de los siguientes agentes de Policía Local: ***GRUPO.5."

Asimismo se publica el cuadrante anual de servicios indicando en cada grupo si el servicio se presta de mañana, tarde o noche, haciendo así público cuándo se encuentra prestando servicio cada agente de forma personal.

Junto a la reclamación se aporta copia del BOP nº 193 de Sevilla.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), con fecha 14/12/2020 se dio traslado de dicha reclamación al AYUNTAMIENTO, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

El traslado se remitió con fecha 14/12/2020 a través del Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada, siendo notificado el día 14/12/2020.

Con fecha 03/02/2021 se recibe en esta Agencia escrito de respuesta indicando:

-La resolución publicada establece un sistema de organización y planificación de servicios de Policía Local, siendo dictada por la Alcaldía en el ejercicio de sus funciones, para la satisfacción de intereses legítimos y de interés público, según dispone el art. 21.1i) de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, siendo por tanto lícito el tratamiento por aplicación del artículo 6.1 del RGPD.

En dicha resolución se difunden cuestiones de interés para los policías locales, tales como el cuadrante anual de servicios y los días que les corresponden trabajar, siendo por tanto un tratamiento lícito al tratarse de información de utilidad para ellos y para la organización del servicio.

-La publicación de la resolución de Alcaldía se realiza además en el ámbito de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, y de los principios generales de la publicidad activa, siendo aplicable el criterio a tomar en consideración del artículo 15.2 que dispone:

"Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad público del órgano".

Los datos identificativos de los policías locales contenidos en la resolución están legitimados atendiendo al citado precepto legal, por prevalecer el interés público en la divulgación de información que es de interés para ellos y para el servicio de policía local, y por tanto no supone ninguna situación de riesgo para los reclamantes que haga prevalecer su derecho fundamental a la protección de datos.

-No es cierto que, como dicen los denunciantes, que se hayan publicado los tumos concretos de trabajo de los agentes, (mañana, tarde o noche), este cuadrante solo establece el día de trabajo, pero no el turno. Además, la resolución no contiene los domicilios de los funcionarios, por lo que no se puede conocer su residencia.

-No se ha publicado ningún dato sensible, tales como ideología, afiliación sindical, religión, creencias, origen racial..., o datos para fines policiales, o derivados de violencia de género.

-Dado que los reclamantes no están de acuerdo con la resolución publicada, desde el Ayuntamiento se va a proceder a solicitar a la Consejería de la Presidencia, Administración Pública e Interior de la Junta de Andalucía, la reasignación de números de identificación profesional de los Agentes de la Policía Local de Marchena, a fin de atender a su petición.

TERCERO: Con fecha 18 de febrero de 2021 se produjo la admisión a trámite de la reclamación presentada por la parte reclamante.

CUARTO: Con fecha 3 de diciembre de 2021, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al AYUNTAMIENTO, por la presunta infracción del Artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD, y Artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD.

QUINTO: Transcurrido el plazo otorgado para la formulación de alegaciones al acuerdo de inicio del procedimiento, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.

El artículo 64.2.f) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante LPACAP) -disposición de la que se informó a la parte reclamada en el acuerdo de apertura del procedimiento-establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría imponerse. Por ello, tomando en consideración que la parte reclamada no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS

PRIMERO: Consta acreditado que en el Boletín Oficial de la Provincia de Sevilla número 193, de fecha 20/08/2020 se publicó Resolución de Alcaldía sobre el sistema provisional de organización de servicios de Policía Local de Marchena. Dicha resolución publica el nombre y apellidos, así como el indicativo policial asociado a cada uno de los agentes de toda la plantilla, así como los grupos de trabajo de los que formará parte cada agente.

SEGUNDO: Consta, según manifestación del propio AYUNTAMIENTO, que dado que la parte reclamante no está de acuerdo con la resolución publicada, se va a proceder a solicitar a la Consejería de la Presidencia, Administración Pública e Interior de la Junta de Andalucía, la reasignación de números de identificación profesional de los Agentes de la Policía Local de Marchena, a fin de atender a su petición.

FUNDAMENTOS DE DERECHO  

 

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para resolver este procedimiento.

II

Se imputa al AYUNTAMIENTO la comisión de una infracción por vulneración del Artículo 5.1.f) del RGPD y Artículo 32 del RGPD.

El artículo 5.1.f) RGPD señala que:

"1. Los datos personales serán: (...)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)."

La citada infracción del artículo 5.1.f) del RGPD podría suponer la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:

"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (...)"

A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que:

"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".

A efectos del plazo de prescripción, el artículo 72 "Infracciones consideradas muy graves" de la LOPDGDD indica:

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías

establecidos en el artículo 5 del Reglamento (UE) 2016/679. (...)"

Ha quedado demostrado que los datos personales de los componentes de la plantilla de la policía local del AYUNTAMIENTO han quedado accesibles a terceros, debido a la publicación en el BOP de la Resolución de la Alcaldía, en la que, junto al identificativo profesional de cada policía figuran asimismo su nombre y apellidos, datos estos últimos que no deberían haberse publicado, teniendo en cuenta lo establecido en el artículo 13 del Decreto 250/2007, de 25 de septiembre, por el que se establece la uniformidad de las Policías Locales de Andalucía:

"Artículo 13 Documento de acreditación profesional

1. Todo el personal perteneciente a los Cuerpos de la Policía Local, para su identificación personal, estará provisto de un documento de acreditación profesional expedido por la alcaldía, según modelo oficial, cuyo diseño y características técnicas se determinarán mediante Orden de la Consejería de Gobernación, en el que constará el nombre del municipio, nombre y apellidos del agente, categoría, número de identificación profesional y número del Documento Nacional de Identidad.

2. El número de identificación que figurará en el documento de acreditación profesional será asignado por la Consejería de Gobernación.

3. El documento de acreditación profesional deberá portarse cuando se esté de servicio y tendrá que exhibirse cuando sea preciso por razón del servicio.

4. El personal que se encuentre fuera de servicio, sólo podrá utilizar el documento de acreditación profesional, excepcionalmente, cuando tenga que actuar en defensa de la legalidad o de la seguridad ciudadana.

5. El personal que se encuentre en la situación administrativa de segunda actividad estará provisto de un documento de acreditación profesional en el que figure, además de lo señalado en el apartado 1 de este artículo, que se encuentra en dicha situación administrativa.

6. El personal vigilante municipal, en el ejercicio de las funciones atribuidas a los miembros de los Cuerpos de la Policía Local, deberá identificarse mediante un documento de acreditación de su condición de vigilante municipal, cuyo diseño y características técnicas se determinarán mediante Orden de la Consejería de Gobernación, en el que constará el nombre del municipio, el funcionario, número de identificación como agente y número del Documento Nacional de Identidad".

Queda, por tanto, acreditada, la infracción al artículo 5.1.f) del RGPD.

III

El artículo 83 apartado 7 del RGPD, dispone lo siguiente:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58 apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."

Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(...)

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. (...)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

(...)

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo."

IV

El Artículo 32 "Seguridad del tratamiento" del RGPD establece:

"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvoque esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros".

La infracción del artículo 32 del RGPD podría suponer la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:

"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (...)"

A este respecto, la LOPDGDD, en su artículo 71 "Infracciones" establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".

A efectos del plazo de prescripción, el artículo 73 "Infracciones consideradas graves" de la LOPDGDD indica:

"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

(...)

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.

(...)"

El hecho de haber publicado conjuntamente los nombres y apellidos de los policías, unidos a su número de identificación profesional indica que el AYUNTAMIENTO no contaba con las medidas técnicas y organizativas apropiadas. Asimismo, al publicar los cuadrantes de trabajo y grupos de trabajo, se asocia a cada policía con la prestación de sus servicios en un momento determinado, lo que supone un riesgo personal adicional. Por todo ello se considera cometida la infracción del citado artículo 32 del RGPD.

V

El artículo 83 apartado 7 del RGPD, dispone lo siguiente:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58 apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."

Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

(...)

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. (...)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

(...)

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. (...)"

VI

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos

RESUELVE: 

 

PRIMERO: IMPONER al AYUNTAMIENTO DE MARCHENA, con NIF P4106000E, por una infracción del Artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD, una sanción de apercibimiento.

IMPONER al AYUNTAMIENTO DE MARCHENA, con NIF P4106000E, por una infracción del Artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD, una sanción de apercibimiento.

SEGUNDO: NOTIFICAR la presente resolución a AYUNTAMIENTO DE MARCHENA.

TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [<https://sedeagpd.gob.es/sede-electronica-web/%5D,>web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.