Vulneración del principio de minimización de datos en publicación de edicto municipal

PRIMERO: Con fecha 18 de julio de 2025, la Presidencia de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a AYUNTAMIENTO DE CALPE (en adelante, el Ayuntamiento), mediante el Acuerdo que se transcribe:

<<

Expediente N.º: EXP202413720

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en base a los siguientes

HECHOS

PRIMERO: Con fecha 25 de agosto de 2024, A.A.A. (en adelante, la parte reclamante), interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra el AYUNTAMIENTO DE CALPE con NIF P0304700H (en adelante, la parte reclamada o el Ayuntamiento).

Los motivos en que basa la reclamación son los siguientes:

La parte reclamante, ((...) de profesión), manifiesta que sus datos personales (nombre y apellidos) han sido publicados en el tablón de anuncios de la Sede Electrónica de la parte reclamada con motivo (…), en el seno de un proceso selectivo (…).

Según afirma, el ***FECHA.1 se publicó en el tablón de anuncios de la Sede Electrónica del Ayuntamiento de Calpe un edicto en el que consta "(…).- Desestimar las alegaciones presentadas en fecha ***FECHA.2 (…).".

La parte reclamante manifiesta que no existe habilitación legal que ampare la divulgación de sus datos (…) en un proceso selectivo, concluyendo que la citada actuación vulnera el principio de minimización de datos establecido en el artículo 5.1 c) del RGPD.

La parte reclamante indica como antecedentes jurídicos de interés el procedimiento sancionador EXP202210292 de la AEPD (PS/00617/2022).

Junto a la reclamación aporta:

- El edicto de resolución del recurso de alzada resumen del ***DECRETO.1, publicado en el tablón de anuncios de la Sede Electrónica del Ayuntamiento de Calpe, con motivo de (…).

En dicho edicto consta: "(…).- Desestimar las alegaciones presentadas en fecha ***FECHA.2 (…)", revelándose, de esta manera, los datos personales de carácter identificativo (nombre y apellidos) tanto del aspirante como del reclamante.

- Captura de pantalla del anuncio del edicto resumen del ***DECRETO.1 en la Sede Electrónica del Ayuntamiento de Calpe.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación al Ayuntamiento de Calpe, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

La notificación del traslado de la reclamación, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), fue realizada en fecha 08/10/2024 como consta en el acuse de recibo que obra en el expediente.

Cabe mencionar que no se ha recibido escrito de respuesta del Ayuntamiento de Calpe al requerimiento.

TERCERO: Con fecha 25 de noviembre de 2024, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación.

FUNDAMENTOS DE DERECHO

I Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.

II Procedimiento

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

De acuerdo con el artículo 64 de la LOPDGDD, y teniendo en cuenta las características de la presunta infracción cometida se inicia un procedimiento sancionador.

El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones, de conformidad con lo establecido en el artículo 64 de la LOPDGDD.

Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo podrá ser considerado propuesta de resolución, según lo establecido en el artículo 64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP).

III Cuestiones previas

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

El Ayuntamiento de Calpe, como cualquier otra entidad pública, está obligada al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -RGPD-, y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales -LOPDGDD- con respecto a los tratamientos de datos de carácter personal que realicen, entendiendo por dato de carácter personal, "toda información sobre una persona física identificada o identificable", conforme a lo establecido en el artículo 4.1 del RGPD.

A tenor del mencionado precepto, se considerará persona física identificable aquella "cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".

Asimismo, de acuerdo con lo establecido en el artículo 4.2 del RGPD, debe entenderse por tratamiento "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción".

El Ayuntamiento de Calpe realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD que dispone que, a efectos del presente Reglamento se en- tenderá por "«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros."

Por lo tanto, en el caso particular examinado y de acuerdo con lo expuesto anterior- mente, es el Ayuntamiento de Calpe el responsable del tratamiento de los datos personales que éste efectúa.

IV Obligación incumplida. Minimización de datos

El artículo 5.1.c) del RGPD, "Principios relativos al tratamiento", señala lo siguiente:

"1. Los datos personales serán:

(…)

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);"

El principio de minimización de datos recogido en el citado artículo tiene como finalidad garantizar que únicamente se traten los datos personales estrictamente necesarios para alcanzar el propósito legítimo del tratamiento, evitando el uso excesivo o desproporcionado de información personal. Este principio protege los derechos y libertades de los interesados al limitar el tratamiento de datos a lo imprescindible, reduciendo los riesgos y asegurando un uso responsable de la información personal.

Según la Disposición adicional séptima de LOPDGDD, relativa a la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos:

1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.

Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

2. A fin de prevenir riesgos para víctimas de violencia de género, el Gobierno impulsará la elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos administrativos, con la participación de los órganos con competencia en la materia.

En el caso examinado en este expediente sancionador, el Ayuntamiento de Calpe, con fecha 12 de julio de 2024, habría publicado en su Sede Electrónica https://calp.sedelectronica.es/board, un edicto resumen del Decreto ***DECRETO.1, en el seno del procedimiento selectivo (…).

El mencionado edicto que se aporta junto a la reclamación contiene la siguiente leyenda:

"SEGUNDO.- Desestimar las alegaciones presentadas en fecha ***FECHA.2 (…)", por lo que se desprende, de este punto, el tratamiento de los datos personales de carácter identificativo (nombre, apellidos y profesión) (…).

La citada publicación supone la exposición innecesaria de datos personales de carácter identificativo, lo que implicaría la vulneración del citado principio de minimización de datos. En este caso, la identificación (…) en un edicto público no resulta imprescindible para el cumplimiento de los fines del procedimiento selectivo, ya que la finalidad de publicidad y transparencia podría haberse garantizado sin incluir tales datos identificativos.

La publicación de edictos en el marco de procedimientos administrativos tiene como objetivo informar a los interesados y garantizar la posibilidad de impugnación de los actos administrativos, pero ello no implica que deban divulgarse datos identificativos de personas distintas a los participantes sin restricciones, especialmente cuando existen alternativas que permiten cumplir con dicha finalidad sin comprometer sus datos personales.

Asimismo, debe tenerse en cuenta que la finalidad de transparencia en los procesos selectivos no justifica una publicación indiscriminada de datos personales, sino que debe aplicarse de manera proporcional, respetando los principios del RGPD. La identificación explícita de los representantes legales en resoluciones públicas no aporta un valor añadido al cumplimiento de los fines administrativos y, en cambio, supone una vulneración del derecho fundamental a la protección de datos personales. Por tanto, de conformidad con las evidencias de las que se dispone en este momento de acuerdo de inicio de procedimiento sancionador, se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable al AYUNTAMIENTO DE CALPE, por vulneración del artículo transcrito anteriormente.

V Tipificación de la infracción del artículo 5.1.c) del RGPD y calificación a efectos de prescripción

De confirmarse, la citada infracción del artículo 5.1 c) del RGPD podría suponer la comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone:

"5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;"

A este respecto, la LOPDGDD en su artículo 71 "Infracciones" establece que:

"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".

A efectos del plazo de prescripción, el artículo 72 "Infracciones consideradas muy graves" de la LOPDGDD indica:

"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679."

VI Propuesta de declaración de infracción

El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD, en su apartado 7, establece:

"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."

Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:

"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. (…)

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica."

Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción.

Por tanto, de confirmarse la citada infracción, correspondería dictar resolución declarando la infracción del Ayuntamiento de Calpe por:

- Una presunta infracción del artículo 5.1 c) del RGPD, tipificada en el artículo 83.5 a) del RGPD

VII Medidas correctivas

De confirmarse la infracción, el citado artículo 77 de la LOPDGDD contempla que la resolución que se dicte pueda establecer las medidas que la entidad infractora deberá adoptar para que cese la conducta infractora, se corrijan los efectos de la infracción que se hubiese cometido y se lleve a cabo la necesaria adecuación, en este caso, a las exigencias contempladas en el artículo 5.1.c) del RGPD, debiendo, además, aportar a la AEPD los medios acreditativos del cumplimiento de lo requerido.

De esta manera, se podrá requerir a la entidad responsable para que adecúe su actuación a la normativa de protección de datos personales, con el alcance expresado en los anteriores Fundamentos de Derecho.

En el presente acto se establece cuál es la presunta infracción cometida y los hechos que podrían dar lugar a esa posible vulneración de la normativa de protección de datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio de que el tipo de procedimientos, mecanismos o instrumentos concretos para implementarlas corresponda a la parte sancionada, pues es el responsable del tratamiento quien conoce plenamente su organización y ha de decidir, en base a la responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la LOPDGDD.

No obstante, en este caso, con independencia de lo anterior, de conformidad con las evidencias de que se dispone en el presente momento de acuerdo de inicio de procedimiento sancionador, en la resolución que se adopte se podrá requerir al Ayuntamiento de Calpe para que, acredite el cumplimiento de las siguientes medidas:

1. En el plazo de un mes a contar desde la fecha de ejecutividad de la resolución finalizadora de este procedimiento:

- Se ajuste la publicación impugnada a lo dispuesto en la disposición adicional séptima de la LOPDGDD.

2. En el plazo de seis meses:

- Establecer, por parte del Ayuntamiento de Calpe, las medidas necesarias para garantizar que las publicaciones que se realicen mediante edicto, respete lo dispuesto en el artículo 5.1 c) del RGPD (principio de minimización de datos).

A este respecto cabe señalar la necesidad de conjugar los principios de publicidad y transparencia en el acceso a la función pública y el derecho a la protección datos.

Se advierte que no atender la posible orden de adopción de medidas impuestas por este organismo en la resolución del presente procedimiento podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.

Por otra parte, se recuerda que el reconocimiento de la infracción cometida no exime de la obligación de adoptar las medidas pertinentes para que cese la conducta o se corrijan los efectos de la infracción cometida y la de acreditar el cumplimiento de esa obligación.

Por lo tanto, a tenor de lo anteriormente expuesto, por la Presidencia de la Agencia Española de Protección de Datos, SE ACUERDA :

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a AYUNTAMIENTO DE CALPE, con NIF P0304700H, por la presunta infracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5 del RGPD.

SEGUNDO: NOMBRAR como instructora a B.B.B. y, como secretaria, a C.C.C., indicando que podrán ser recusados, en su caso, conforme a lo establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP).

TERCERO: INCORPORAR al expediente, a efectos probatorios, la reclamación interpuesta por la parte reclamante y su documentación, así como, los documentos obtenidos y generados por la Subdirección General de Inspección de Datos en las actuaciones previas al inicio del presente procedimiento sancionador.

CUARTO: Sin perjuicio de lo que resulte de la instrucción, el pronunciamiento que pudiera corresponder por los hechos que motivan la incoación del procedimiento y su posible calificación jurídica, de acuerdo con lo dispuesto por el art. 77.2 de la LOPDGDD, y atendiendo a la categoría del sujeto presuntamente responsable de la infracción, consistirá en una declaración de la infracción.

Asimismo, la infracción imputada, de confirmarse, podrá conllevar la imposición de medidas, de acuerdo con lo establecido en el citado artículo 77.2 de la LOPDGDD.

QUINTO: NOTIFICAR el presente acuerdo a AYUNTAMIENTO DE

CALPE, con NIF P0304700H, otorgándole un plazo de audiencia de diez días hábiles para que formule las alegaciones y presente las pruebas que considere convenientes. En su escrito de alegaciones deberá facilitar su NIF y el número de procedimiento que figura en el encabezamiento de este documento.

Conforme dispone el artículo 85 de la LPACAP, podrá reconocer su responsabilidad dentro del plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio, condicionada al desistimiento o renuncia expresos de cualquier acción o recurso en vía administrativa; resolviéndose el procedimiento con la declaración de la infracción, sin perjuicio de la imposición de las medidas correspondientes.

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP, contra el presente acto no cabe recurso administrativo alguno.

Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos

>>

SEGUNDO: En virtud de escrito presentado en fecha 1 de agosto de 2025 el Ayuntamiento ha reconocido expresamente su responsabilidad en relación con los hechos a los que se refiere el Acuerdo de inicio transcrito anteriormente, y su calificación jurídica.

TERCERO: El reconocimiento de su responsabilidad, en los términos expuestos, y dentro del plazo concedido para formular alegaciones a la apertura del procedimiento, permite resolver el procedimiento.

CUARTO: En el Acuerdo de inicio transcrito anteriormente se señalaba que, de confirmarse la infracción, podría acordarse imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto. De acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…".

Habiéndose recibido escrito mediante el que el Ayuntamiento informa que ha adoptado las medidas necesarias para que no se vuelvan a producir los hechos determinantes de la infracción cometida, por parte de esta Agencia se acusa recibo del mismo, sin que esta declaración suponga ningún pronunciamiento sobre la regularidad o licitud de las medidas adoptadas.

Se advierte sobre lo dispuesto en el artículo 5.2 del RGPD, que establece el principio de responsabilidad proactiva cuando señala que "El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo". Este principio hace referencia a la obligación que recae en el responsable del tratamiento no solo de diseñar, implementar y observar las medidas jurídicas, técnicas y organizativas adecuadas para que el tratamiento de datos sea acorde con la normativa, sino de permanecer activamente atento a lo largo de todo el ciclo de vida del tratamiento para que ese cumplimiento sea correcto, siendo además capaz de demostrarlo.