Sanción a ayuntamiento por vulnerar el principio de confidencialidad en el envío de correo electrónico


AEPD 29/09/2020

Se interpuso reclamación contra un ayuntamiento por enviar un correo electrónico a varios destinatarios sin utilizar la opción de copia oculta, por lo que los datos del denunciante, esto es, su dirección de correo electrónico, quedaban expuestos sin su consentimiento.

La AEPD considera que este hecho es constitutivo de una infracción al vulnerar los principios sobre el tratamiento de datos, por lo que le impone la sanción de apercibimiento y le otorga un plazo de un mes para que adopte las medidas oportunas que eviten incidencias futuras.

Agencia Española de Protección de Datos, Resolución, 29-09-2020

ANTECEDENTES DE HECHO

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 3 de octubre de 2019 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra AYUNTAMIENTO DE BURGOS con NIF P0906100C (en adelante, el reclamado).

Los motivos en que basa la reclamación son que, junto a la citación del acto de conciliación remitida por correo electrónico a las partes, la Junta Arbitral remitió la denuncia formulada y una copia de su DNI. El reclamante manifiesta que se ha revelado su dirección de correo electrónico al denunciado al no utilizar la opción CCO para efectuar el envío.

SEGUNDO: Se trasladó al reclamado la presente reclamación el 20 de noviembre de 2019, requiriéndole para que en el plazo de un mes remitiese a esta Agencia, información sobre la respuesta dada al reclamante por los hechos denunciados, así como las causas que han motivado la incidencia y las medidas adoptadas.

Responden que han enviado todos los datos a las partes y al tribunal juzgador, para no causar indefensión.

TERCERO: Con fecha 9 de junio de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del Artículo 5.1.f) del RGPD, Artículo 5.1.b) del RGPD, tipificada en el Artículo 83.5 del RGPD.

CUARTO: Con fecha 10 de junio de 2020 se notifica el acuerdo de inicio de este procedimiento, convirtiéndose el mismo en propuesta de resolución de conformidad con los artículos 64.2.f) y 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), al no efectuar alegaciones en el plazo indicado.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS

PRIMERO: se denuncia que como consecuencia de la citación del acto de conciliación, el reclamado, al no utilizar la opción CCO para efectuar el envío de dicha denuncia, ha dado a conocer su dirección de correo electrónica a las otras partes del procedimiento en el que está incursa, sin su consentimiento.

SEGUNDO: el reclamante no ha presentado alegación alguna a lo largo del procedimiento.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDPGDD, la Directora de la Agencia Española de Protección de Datos es competente para resolver este procedimiento.

II

El artículo 6.1 del RGPD, establece los supuestos que permiten considerar lícito el tratamiento de datos personales.

Por su parte, el artículo 5 del RGPD establece que los datos personales serán:

"a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)."

III

De conformidad con las evidencias de las que se dispone, se considera que los hechos denunciados, es decir, remitir la dirección de correo electrónico y el DNI del reclamante sin utilizar la opción CCO para efectuar el envío, supone la vulneración de los principios de «limitación de la finalidad» e «integridad y confidencialidad» regulados en el art. 5.1 b) y f) del RGPD, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.

IV

El artículo 58.2 del RGPD dispone lo siguiente: "Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

El art. 83.5 del RGPD establece que se sancionarán las infracciones que afecten a:

"a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

El artículo 72.1.a) de la LOPDGDD señala que "en función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679

V

La LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se

relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica".

VI

Entre los poderes correctivos que contempla el artículo 58 del RGPD, en su apartado 2 d) se establece que cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado...". La imposición de esta medida es compatible con la sanción consistente en multa administrativa, según lo dispuesto en el art. 83.2 del RGPD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,

la Directora de la Agencia Española de Protección de Datos

FALLO

PRIMERO: IMPONER a AYUNTAMIENTO DE BURGOS, con NIF P0906100C, por una infracción del artículo 5.1.f) del RGPD, y artículo 5.1.b) del RGPD, tipificada en el artículo 83.5 del RGPD, una sanción de apercibimiento.

SEGUNDO: REQUERIR a la parte reclamada para que en el plazo de un mes acredite ante este organismo el cumplimiento de:

- la adopción de todas las medidas necesarias para que la entidad denunciada actúe de conformidad con los principios de «limitación de la finalidad» e «integridad y confidencialidad» del art. 5.1 b) y f) de RGPD respectivamente.

TERCERO : COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

CUARTO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE BURGOS.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,> o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.