Sanción a ayuntamiento por vulnerar el deber de confidencialidad para el tratamiento de datos personales


AEPD 23/07/2020

Un particular interpuso reclamación contra un ayuntamiento por haber publicado en el tablón de anuncios y en su página web el censo de aprovechamientos agrícolas, en el que constan sus datos personales.

La AEPD señala que el ayuntamiento vulneró su deber de confidencialidad en el tratamiento de los datos personales, y por ello, le impone la sanción de apercibimiento por vulneración del art.5 RGPD.

Agencia Española de Protección de Datos, Resolución, 23-07-2020

Resolución del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

ANTECEDENTES DE HECHO

PRIMERO: Dña. A.A.A. (en adelante, la reclamante) con fecha 13/03/2019 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE CONGOSTO DE VALDAVIA con NIF P3406300H (en adelante el reclamado o AYUNTAMIENTO). Los motivos en que basa la reclamación se basan en que el reclamado ha publicado en el tablón de anuncios del consistorio y en su página web el censo de aprovechamientos agrícolas comunales; en el citado documento consta el nombre, apellidos y DNI de los solicitantes.

SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de Inspección de Datos procedió a realizar las siguientes actuaciones:

El 14/05/2019, reiterada el 27/05/2019, fue trasladada al reclamado el escrito interpuesto para su análisis y comunicación a la denunciante de la decisión adoptada al respecto. Igualmente, se le requería para que en el plazo de un mes remitiera a la Agencia determinada información:

- Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.

- Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.

- Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.

- Cualquier otra que considere relevante.

No consta que el reclamado haya dado respuesta al requerimiento formulado por la Agencia Española de Protección de Datos.

TERCERO: El 22/10/2019, de conformidad con el artículo 65 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada por el reclamante contra el reclamado.

CUARTO: Con fecha 18/12/2019, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado por la presunta infracción del artículo 5.1.f) del RGPD, contemplada en el artículo 83.5.a) del citado Reglamento.

QUINTO: Notificado el acuerdo de inicio, el reclamado presentó escrito de alegaciones manifestando, en síntesis: que la alcaldía actual no había sido informada con anterioridad de la reclamación interpuesta ni por la corporación saliente ni por el secretario que ocupaba el puesto en el Ayuntamiento por aquel entonces; que hasta el día 29/10/2019, el Ayuntamiento no ha contado con secretario tomando posesión de la plaza el actual secretario en dicha fecha. Fue entonces, cuando el alcalde fue informado de la existencia de los escritos de la AEPD; que se ha dado cumplimiento a la solicitud de información por parte de la Agencia Española de Protección de Datos y se le ha dado respuesta a la reclamante en base a un informe elaborado por el Delegado de Protección de datos nombrado por este Ayuntamiento, de las decisiones que se han tomado al respecto en relación con la reclamación, señalando que:

a) En su día se ha retirado de los tablones de anuncios consistoriales y página web municipal de manera inmediata, la copia del censo de aprovechamiento agrícola comunal.

b) Que la reclamante no estaba exigiendo ningún derecho, únicamente denuncia un hecho, si bien se le comunica que puede ejercitar los derechos a acceder, rectificar y suprimir los datos, así como otros derechos, indicados en la información adicional, que puede ejercer dirigiéndose al Ayuntamiento de Congosto de Valdavia y puede consultar en su página web

c) En cuanto a las medidas adoptadas por su reclamación, reconocen el error cometido, fundamentado en el principio de publicidad. Error por no haber utilizado las medidas necesarias para la anonimización de datos personales.

d) Actualmente en dicho Ayuntamiento se encuentran inmersos en la implantación del RGPD y en la formación del personal del Ayuntamiento para evitar que se produzcan incidencias similares a esta reclamación y cumplir en lo dispuesto en la Ley 3/2018 del 5 de diciembre, cosa que se debería haber hecho anteriormente, pero como otras tantas cosas, no se habían hecho.

SEXTO: En fecha 02/06/2020 fue dictada Propuesta de Resolución en el sentido de que se sancionara al reclamado con apercibimiento por vulneración del artículo 5,1.f) del RGPD, tipificada en el artículo 83.5.a) del citado Reglamento y sancionada conforme a lo dispuesto en el artículo 77.2 de la LOPDGDD.

Transcurrido el plazo establecido para ello el reclamado no ha presentado escrito de alegaciones al tiempo de dictar la presente resolución.

SEPTIMO: De las actuaciones practicadas en el presente procedimiento, han quedado acreditados los siguientes,

HECHOS PROBADOS

PRIMERO. El 13/03/2019 tiene entrada escrito de la reclamante señalando que el Ayuntamiento de Congosto de Valdavia, ha publicado en el tablón de anuncios de la localidad, edicto por el que se abre plazo para la actualización del censo de los peticionarios aprovechatarios para la adjudicación de los mismos durante el periodo 2019-2024 y dando plazo para presentación de solicitudes; con fecha 31/01/2019, es publicado por el reclamado, tanto en el tablón de anuncios como en la página web del mismo, la actualización del censo de aprovechamientos agrícolas comunales, que consiste en un listado de los solicitantes con su nombre, apellido y número de DNI completo; considerando que ésta publicación de datos personales incumple el principió de confidencialidad.

SEGUNDO. Consta aportado la Actualización Censo Aprovechamientos Agrícolas Comunales para el periodo 2019 al 2024, aprobado por Acuerdo de Pleno de fecha 28 de enero de 2019, donde figuran los nombres y apellidos y números completos de los DNIs de los peticionarios, entre el que se encuentra el de la reclamante.

TERCERO. Consta aportada por la reclamante imagen del Tablón de Edictos y de la Sede Electrónica de la Corporación donde figuran publicados el citado Censo de Aprovechamientos incluyendo los nombres, apellidos y DNIs.

CUARTO. El Ayuntamiento de Congosto de Valdavia manifiesta haber retirado de los tablones de anuncios consistoriales y de la página web municipal de manera inmediata, la copia del censo de aprovechamiento agrícola comunal e informado a la reclamante.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.

II

Los hechos denunciados se concretan en la publicación en el tablón de anuncios del Ayuntamiento y en su página web de los datos de carácter personal (nombre y apellidos y nº de DNI completo de los solicitantes) que pueden ser conocidos por terceros, contenidos en el censo de aprovechamientos agrícolas comunales, vulnerando el deber de confidencialidad.

El artículo 5, Principios relativos al tratamiento, del RGPD que establece que:

"1. Los datos personales serán: (...)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

(...)"

El artículo 5, Deber de confidencialidad, de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), señala que:

"1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento".

III

La documentación obrante en el expediente ofrece evidencias de que el reclamado vulneró el artículo 5 del RGPD, principios relativos al tratamiento, en relación con el artículo 5 de la LOPGDD, deber de confidencialidad, al publicar los datos de carácter personal que pueden ser conocidos por terceros, contenidos en el censo de aprovechamientos agrícolas comunales.

Este deber de confidencialidad, con anterioridad deber de secreto, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos.

Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

La reclamante ha aportado imágenes del Tablón de Edictos y de la página web del Ayuntamiento en el que figura expuesto al público la Actualización del Censo de Aprovechamientos Agrícolas Comunales para el periodo 2019 al 2024, que fue aprobado por Acuerdo de Pleno de fecha 28/01/2019, en el que figura el listado conteniendo los nombres, apellidos y números completos de los DNIs de los peticionarios, entre el que se encuentra el de la reclamante.

El propio reclamado en escrito de ha manifestado que había procedido a la retirada de los tablones de anuncios consistoriales y página web municipal de manera inmediata la copia del censo de aprovechamiento agrícola comunal y que habían procedido a adoptar las medidas técnicas y organizativas oportunas para que incidencias como la reclamada no volvieran a producirse en el futuro, reconociendo el error cometido; que se encuentran inmersos en la implantación del RGPD así como la formación del personal del Ayuntamiento en materia de protección de datos para evitar que se produzcan hechos como los reclamados y cumplir lo dispuesto tanto en el RGPD como en la LOPDGDD, pretensiones que deberían haberse realizado con anterioridad pero que como otras tantas cosas no se habían llevado a cabo al estar la Alcaldía y Secretaria del Ayuntamiento en proceso de cambio.

No obstante, de los hechos acreditados se desprende que la actuación del reclamado es constitutiva de infracción del artículo 5.1.f)

IV

El artículo 83.5 a) del RGPD, considera que la infracción de "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9" es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado RGPD, "con multas administrativas de 20.000.000Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía".

Por otro lado, la LOPDGDD, a efectos de prescripción, en su artículo 72 indica: "Infracciones consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.

(...)"

No obstante, la LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica".

De conformidad con las evidencias de las que se dispone y dicha conducta es constitutiva de la infracción a lo dispuesto en el artículo 5.1.f) del RGPD.

Hay que señalar que la LOPDGDD, sin perjuicio de lo establecido en el artículo 83 del RGPD, contempla en su artículo 77 la posibilidad de acudir a la sanción de apercibimiento para corregir los tratamientos de datos personales que no se adecúen a sus previsiones, cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica.

En el presente caso, atendiendo a la naturaleza de la infracción y habida cuenta que el reclamado en escrito de fecha 13/03/2019 ha informado a esta Agencia las circunstancias particulares y puntuales en las que se produjo la incidencia que propició la reclamación así como las medidas adoptadas para evitar que tales hechos vuelvan a producirse y que una vez accedido al gobierno municipal el actual equipo de gobierno y la toma de posesión del nuevo Secretario se ha podido ir dando cumplimiento inmediato tanto a la solicitud de información por parte de la Agencia Española de Protección de Datos, como a la misma reclamante en base a un informe elaborado por el Delegado de Protección de datos nombrado por el Ayuntamiento, acerca de las decisiones que se han ido adoptado paulatinamente en relación con la reclamación instada e indicando: que se había retirado de los tablones de anuncios consistoriales y de la página web municipal la copia del censo de aprovechamiento agrícola comunal; que si bien la reclamante no estaba exigiendo ningún derecho y sí la denuncia de un hecho, se le comunicó sobre la posibilidad de ejercitar los derechos de acceso, rectificación, rectificación y supresión de los datos de carácter personal así como demás derechos señalados en la información adicional aportada, que podía ejercer dirigiéndose al AYUNTAMIENTO y que podía consultar en su página web; que reconocen el error cometido por no haber utilizado las medidas necesarias para la anonimización de datos personales y que actualmente se encuentran inmersos en la implantación de las medidas establecidas en el RGPD y en la formación del personal del Ayuntamiento para evitar que se produzcan incidencias similares a las que ha propiciado la reclamación interpuesta y cumplir lo dispuesto en la normativa sobre protección de datos.

Por tanto, se considera que la respuesta del reclamado ha sido razonablemente diligente, reconociendo los hechos y subsanando de manera inmediata los errores cometidos, no teniéndose constancia de otras reclamaciones por parte de las personas afectadas y adoptando medidas adecuadas para evitar cualquier anomalía o incidencia futura que pueda producirse.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER al AYUNTAMIENTO DE CONGOSTO DE VALDAVIA, con NIF P3406300H, por una infracción del artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD, una sanción de apercibimiento de conformidad con lo señalado en el artículo 77.2 de la LOPDGDD.

SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE CONGOSTO DE VALDAVIA, con NIF P3406300H.

TERCERO : COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,> o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.