AEPD 10/09/2020
Se interpuso reclamación contra un partido político por publicar en redes sociales una resolución del ayuntamiento por la que se nombraba cargo eventual al reclamante, ya que aparecían sus datos personales.
La AEPD señala que el partido político vulneró los principios relativos al tratamiento de datos por cuanto la publicación de estos datos personales excedió lo necesario para la realización de la crítica política de dicha resolución municipal.
Por tanto, le impone una sanción de apercibimiento y le señala que adopte las medidas necesarias para que en el futuro vuelvan a producirse incidencias como ésta.
PRIMERO: D. A.A.A. (en adelante, el reclamante) con fecha 17/05/2019 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra el Grupo Municipal del Partido Popular, NIF G28570927, (en adelante, el reclamado). Los motivos en que basa la reclamación son: que un concejal del PP efectuó la publicación en red social Facebook de un Decreto del Ayuntamiento en el que figura su nombre y DNI con fines de crítica política ante la adopción de la citada resolución administrativa, considerando que se ha incurrido en infracción a la normativa sobre protección de datos personales.
SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de Inspección de Datos procedió a realizar las siguientes actuaciones:
El 19/07/2019, fue trasladada al reclamado el escrito interpuesto para su análisis y comunicación a la denunciante de la decisión adoptada al respecto. Igualmente, se le requería para que en el plazo de un mes remitiera a la Agencia determinada información:
- Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.
- Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.
- Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.
- Cualquier otra que considere relevante.
El reclamado, en escrito de 23/07/2019 respondía que no procedía reconocer legitimación al PP puesto que la publicación había sido efectuada en la cuenta de Facebook cuyo titular es un particular, no constituyendo un medio de difusión en la red del PP, que no tiene capacidad de disposición sobre los contenidos obrantes en una página estrictamente privada.
TERCERO: El 23/10//2019, de conformidad con el artículo 65 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada por el reclamante contra el reclamado.
CUARTO: Con fecha 28/02/2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado por la presunta infracción del artículo 6.1.a), tipificada en el artículo 83.5.a) del RGPD.
QUINTO: Notificado el acuerdo de inicio, el reclamado en escrito de 06/03/2020 solicitó copia del expediente a efectos de alegaciones; la copia y escrito de ampliación de plazo le fue trasladado el 03/06/2020.
No obstante, transcurrido el plazo establecido el reclamado a la fecha de la presente resolución no ha presentado escrito de alegaciones, por lo que es de aplicación lo señalado en el artículo 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que en su apartado f) establece que en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada, por lo que se procede a dictar Resolución.
SEPTIMO: De las actuaciones practicadas en el presente procedimiento, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: El reclamante interpuso reclamación ante la Agencia Española de Protección de Datos el 17/05/2019 manifestando que un concejal del PP había efectuado la publicación en red social Facebook de un Decreto del Ayuntamiento en el que figura su nombre y DNI con fines de crítica política ante la adopción de aquella resolución administrativa, considerando que se ha incurrido en infracción a la normativa sobre protección de datos personales.
SEGUNDO: El 07/05/2019 el concejal del PP en el Ayuntamiento de Vélez-Málaga D. B.B.B., publica en la en la red social Facebook un Decreto del Ayuntamiento, nº 2948, Asunto: nombramiento de un tercero en el cargo de personal eventual de esta entidad, y en el que figura el nombre y apellidos del reclamante junto con su nº de DNI, realizando el siguiente comentario:
"No he visto nunca tan poca vergüenza!!!
A menos de un mes de las elecciones locales C.C.C. nombra cargo eventual como Secretario de Grupo al candidato (...) del PSOE, A.A.A..
Este hecho es demostrativo que lo único que quieren y están en policía es por un "sueldecito" como sea, cuando sea y mejor costa de todos nosotros. Para eso quieren seguir en el gobierno para colocar a sus acólitos hasta el último momento.
Los recursos públicos sirven para los intereses del PSOE colocando a su gente sin ningún pudor y decencia...Y decían que no iban a tener cargos de confianza. Vergüenza les tendría que dar"
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos es competente para iniciar y para resolver este procedimiento.
II
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en su artículo 64 "Acuerdo de iniciación en los procedimientos de naturaleza sancionadora", dispone:
"1. El acuerdo de iniciación se comunicará al instructor del procedimiento, con traslado de cuantas actuaciones existan al respecto, y se notificará a los interesados, entendiendo en todo caso por tal al inculpado.
Asimismo, la incoación se comunicará al denunciante cuando las normas reguladoras del procedimiento así lo prevean.
2. El acuerdo de iniciación deberá contener al menos:
a) Identificación de la persona o personas presuntamente responsables.
b) Los hechos que motivan la incoación del procedimiento, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción.
c) Identificación del instructor y, en su caso, Secretario del procedimiento, con expresa indicación del régimen de recusación de los mismos.
d) Órgano competente para la resolución del procedimiento y norma que le atribuya tal competencia, indicando la posibilidad de que el presunto responsable pueda reconocer voluntariamente su responsabilidad, con los efectos previstos en el artículo 85.
e) Medidas de carácter provisional que se hayan acordado por el órgano competente para iniciar el procedimiento sancionador, sin perjuicio de las que se puedan adoptar durante el mismo de conformidad con el artículo 56.
f) Indicación del derecho a formular alegaciones y a la audiencia en el procedimiento y de los plazos para su ejercicio, así como indicación de que, en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada.
3. Excepcionalmente, cuando en el momento de dictar el acuerdo de iniciación no existan elementos suficientes para la calificación inicial de los hechos que motivan la incoación del procedimiento, la citada calificación podrá realizarse en una fase posterior mediante la elaboración de un Pliego de cargos, que deberá ser notificado a los interesados".
En aplicación del anterior precepto y teniendo en cuenta que no se han formulado alegaciones al acuerdo de inicio, procede resolver el procedimiento iniciado.
III
Los hechos denunciados se materializan en que los datos de carácter personal del reclamante (nombre, apellidos y DNI), han sido publicados por un concejal del PP de la misma Corporación en red social Facebook resultando excesivo puesto que para expresar la crítica política a la que se alude no era necesario que figurara sus datos de carácter personal.
Dicho tratamiento es constitutivo de una infracción del artículo 5, Principios relativos al tratamiento, del RGPD que establece que:
"1. Los datos personales serán:
(...)
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
(...)"
IV
La documentación obrante en el expediente evidencia que el reclamado vulneró el artículo 5 del RGPD, principios relativos al tratamiento y, que tal y como se señala en el fundamento anterior, al ser publicados los datos personales del reclamante en la red social Facebook por un concejal del grupo municipal de la formación política PP integrante de la Corporación, resultando dicha publicación excesiva ya que no era necesario incluir en aquella el nombre y DNI para hacer posible su crítica de tipo político, consecuencia del nombramiento de un tercero en el cargo de personal eventual de la Corporación.
Este deber de sigilo y de confidencialidad, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
Por otra parte, los datos personales serán adecuados, pertinentes, limitados y no excesivos, es decir, que si el objetivo pretendido puede alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados
Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.
V
El artículo 83.5 a) del RGPD, considera que la infracción de "los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9" es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado RGPD, "con multas administrativas de 20.000.000Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía".
Por otro lado, la LOPDGDD, a efectos de prescripción, en su artículo 72 indica: "Infracciones consideradas muy graves:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679. (...)"
También la LOPDGDD en su artículo 77, Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento, establece lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica".
De conformidad con las evidencias de las que se dispone dicha conducta constituye por parte del reclamado la infracción a lo dispuesto en el artículo 5.1.e) del RGPD.
Hay que señalar que el RGPD, sin perjuicio de lo establecido en su artículo 83, contempla en su artículo 77 la posibilidad de acudir a la sanción de apercibimiento para corregir los tratamientos de datos personales que no se adecúen a sus previsiones, cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica.
Como se señalaba con anterioridad ha quedado acreditado que el reclamado vulneró el artículo 5.1.c) del RGPD, al ser publicados los datos personales del reclamante en la red social Facebook por un concejal del grupo municipal de la formación política PP, integrante de la Corporación resultando dicha publicación excesiva ya que no era necesario incluir en aquella el nombre y DNI para llevar a cabo su labor de crítica de tipo político, consecuencia del nombramiento de un tercero en el cargo de personal eventual de la Corporación..
Se hace necesario señalar que de no corregir dichas deficiencias adoptando las medidas adecuadas para impedir la vulneración de lo señalado en el artículo 5.1.c) o bien reiterar la conducta puesta de manifiesto en la reclamación y que es causa del presente procedimiento, así como no informar seguidamente a esta AEPD de las medidas adoptadas podría dar lugar al ejercicio de posibles actuaciones ante el responsable del tratamiento a fin de que se apliquen de manera efectiva las medidas apropiadas para garantizar y no comprometer la confidencialidad de los datos de carácter personal y el derecho a la intimidad de las personas.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER al GRUPO MUNICIPAL DEL PARTIDO POPULAR EN VELEZMALAGA, con NIF G28570927, por una infracción del articulo 5.1.c) del RGPD, tipificada en el artículo 83.5 del RGPD, una sanción de apercibimiento de conformidad con lo señalado en el artículo 77.2 de la LOPDGDD.
SEGUNDO: REQUERIR al GRUPO MUNICIPAL DEL PARTIDO POPULAR EN VELEZ-MALAGA, con NIF G28570927, para que en el plazo de un mes desde la notificación de esta resolución, acredite: la adopción de las medidas necesarias y pertinentes de conformidad con la normativa en materia de protección de datos de carácter personal a fin de evitar que en el futuro vuelvan a producirse incidencias como las que han dado lugar a la reclamación y adecuarse a las exigencias contempladas en el artículo 5.1.c) del RGPD.
TERCERO: NOTIFICAR la presente resolución a GRUPO MUNICIPAL DEL PARTIDO POPULAR EN VELEZ-MALAGA.
CUARTO : COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,> o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.