Sanción a ayuntamiento por vulnerar el deber de confidencialidad para el tratamiento de datos personales

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

Los hechos denunciados se concretan en la publicación en el tablón de anuncios del Ayuntamiento y en su página web de los datos de carácter personal (nombre y apellidos y nº de DNI completo de los solicitantes) que pueden ser conocidos por terceros, contenidos en el censo de aprovechamientos agrícolas comunales, vulnerando el deber de confidencialidad.

El artículo 5, Principios relativos al tratamiento, del RGPD que establece que:

"1. Los datos personales serán: (...)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

(...)"

El artículo 5, Deber de confidencialidad, de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), señala que:

"1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento".

III

La documentación obrante en el expediente ofrece evidencias de que el reclamado vulneró el artículo 5 del RGPD, principios relativos al tratamiento, en relación con el artículo 5 de la LOPGDD, deber de confidencialidad, al publicar los datos de carácter personal que pueden ser conocidos por terceros, contenidos en el censo de aprovechamientos agrícolas comunales.

Este deber de confidencialidad, con anterioridad deber de secreto, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos.

Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

La reclamante ha aportado imágenes del Tablón de Edictos y de la página web del Ayuntamiento en el que figura expuesto al público la Actualización del Censo de Aprovechamientos Agrícolas Comunales para el periodo 2019 al 2024, que fue aprobado por Acuerdo de Pleno de fecha 28/01/2019, en el que figura el listado conteniendo los nombres, apellidos y números completos de los DNIs de los peticionarios, entre el que se encuentra el de la reclamante.

El propio reclamado en escrito de ha manifestado que había procedido a la retirada de los tablones de anuncios consistoriales y página web municipal de manera inmediata la copia del censo de aprovechamiento agrícola comunal y que habían procedido a adoptar las medidas técnicas y organizativas oportunas para que incidencias como la reclamada no volvieran a producirse en el futuro, reconociendo el error cometido; que se encuentran inmersos en la implantación del RGPD así como la formación del personal del Ayuntamiento en materia de protección de datos para evitar que se produzcan hechos como los reclamados y cumplir lo dispuesto tanto en el RGPD como en la LOPDGDD, pretensiones que deberían haberse realizado con anterioridad pero que como otras tantas cosas no se habían llevado a cabo al estar la Alcaldía y Secretaria del Ayuntamiento en proceso de cambio.

No obstante, de los hechos acreditados se desprende que la actuación del reclamado es constitutiva de infracción del artículo 5.1.f)

IV

El artículo 83.5 a) del RGPD, considera que la infracción de "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9" es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado RGPD, "con multas administrativas de 20.000.000Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía".

Por otro lado, la LOPDGDD, a efectos de prescripción, en su artículo 72 indica: "Infracciones consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.

(...)"

No obstante, la LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica".

De conformidad con las evidencias de las que se dispone y dicha conducta es constitutiva de la infracción a lo dispuesto en el artículo 5.1.f) del RGPD.

Hay que señalar que la LOPDGDD, sin perjuicio de lo establecido en el artículo 83 del RGPD, contempla en su artículo 77 la posibilidad de acudir a la sanción de apercibimiento para corregir los tratamientos de datos personales que no se adecúen a sus previsiones, cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica.

En el presente caso, atendiendo a la naturaleza de la infracción y habida cuenta que el reclamado en escrito de fecha 13/03/2019 ha informado a esta Agencia las circunstancias particulares y puntuales en las que se produjo la incidencia que propició la reclamación así como las medidas adoptadas para evitar que tales hechos vuelvan a producirse y que una vez accedido al gobierno municipal el actual equipo de gobierno y la toma de posesión del nuevo Secretario se ha podido ir dando cumplimiento inmediato tanto a la solicitud de información por parte de la Agencia Española de Protección de Datos, como a la misma reclamante en base a un informe elaborado por el Delegado de Protección de datos nombrado por el Ayuntamiento, acerca de las decisiones que se han ido adoptado paulatinamente en relación con la reclamación instada e indicando: que se había retirado de los tablones de anuncios consistoriales y de la página web municipal la copia del censo de aprovechamiento agrícola comunal; que si bien la reclamante no estaba exigiendo ningún derecho y sí la denuncia de un hecho, se le comunicó sobre la posibilidad de ejercitar los derechos de acceso, rectificación, rectificación y supresión de los datos de carácter personal así como demás derechos señalados en la información adicional aportada, que podía ejercer dirigiéndose al AYUNTAMIENTO y que podía consultar en su página web; que reconocen el error cometido por no haber utilizado las medidas necesarias para la anonimización de datos personales y que actualmente se encuentran inmersos en la implantación de las medidas establecidas en el RGPD y en la formación del personal del Ayuntamiento para evitar que se produzcan incidencias similares a las que ha propiciado la reclamación interpuesta y cumplir lo dispuesto en la normativa sobre protección de datos.

Por tanto, se considera que la respuesta del reclamado ha sido razonablemente diligente, reconociendo los hechos y subsanando de manera inmediata los errores cometidos, no teniéndose constancia de otras reclamaciones por parte de las personas afectadas y adoptando medidas adecuadas para evitar cualquier anomalía o incidencia futura que pueda producirse.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,