Llama la atención que en la resolución de una sanción de apercibimiento impuesta al Ayuntamiento de San Javier (Murcia) por publicar datos de trabajadores del consistorio, la AEPD compare en varias ocasiones el importe que tendría la sanción para una empresa y el que marca la LOPD para AAPP. Parece que la Agencia pretende con ello concienciar a las autoridades y organismos públicos sobre la trascendencia del cumplimiento de las normas de protección de datos. Deja así una puerta abierta para que en un futuro pueda proponer iniciación de actuaciones disciplinarias contra los responsables directos de la infracción cuando existan indicios suficientes para ello.
Los hechos que han motivado el inicio del procedimiento datan de octubre de 2020 cuando el Ayuntamiento de San Javier publicó en la página web del consistorio el Acta de la Junta de Gobierno celebrada en esa fecha, en la que se identificaba a ciento veintiséis trabajadores que iban a percibir el complemento de productividad mediante su nombre y apellidos, cargo que desempeñaban y horas extra.
El Ayuntamiento intentó justificar su mal hacer trasladando, en vano, su responsabilidad al empleado público que interpuso la reclamación ante la AEPD, culpándolo de haber interpuesto la reclamación ante la Agencia en vez de haber informado al responsable del tratamiento de la brecha de seguridad, tal y como, a juicio del consistorio, era su deber. En cambio, para la Agencia Española de Protección de Datos, “el reclamante no actuó en su condición de empleado público vinculado por una relación estatutaria al Ayuntamiento y, por ende, obligado a comunicarle la incidencia en el marco de sus deberes estatutarios, sino que actuó como interesado, como afectado por la brecha de seguridad, contando con toda la legitimidad para reclamar a la AEPD directamente, tal y como le permite el ordenamiento jurídico”.
Para la AEPD “se ha demostrado a lo largo de la instrucción del procedimiento, que los datos de 126 empleados públicos han quedado indebidamente expuestos, debido a la publicación del Acta de la Junta de Gobierno de fecha 21/10/2020 en el BOP, datos que no deberían ser accesibles a terceros”.
Fundamentalmente, no se llevó a cabo la anonimización del Acta de la Junta, lo que deja entrever que el Ayuntamiento no contaba con las medidas organizativas y técnicas apropiadas, pues si se hubieren adoptado previamente dichas medidas en cumplimiento de la normativa de Protección de datos, de obligatorio cumplimiento para las AAPP, se habría contemplado el error humano como un posible riesgo y se habrían adoptado medidas adecuadas para minimizarlo y evitarlo.
La Agencia atribuye al Ayuntamiento de San Javier la comisión de ciertas infracciones por vulnerar los art. 5.1.f), art. 32 y art. 33 del RGPD, y manifiesta que podría suponer la imposición de multas administrativa previstas en el art. 83.5 RGPD “de 20.000.000 euros como máximo”. No obstante, la propia AEPD aplica la beneficiosa legislación española e impone una sanción de mero apercibimiento, eso sí, sin dejar de recordar en varias ocasiones los importes de las multas previstas en el RGPD que no resultan de aplicación porque nuestra Ley de Protección de Datos dulcificó el régimen para las AAPP.
Ante el gran número de asuntos que está resolviendo la AEPD en relación con el comportamiento de las AAPP hay que recordar que el régimen especial del que se beneficia la Administración no alcanza a su personal y autoridades, las cuales sí pueden verse afectados por un régimen sancionador menos favorable.
Unive Abogados cuenta con abogados especialistas en Protección de Datos y Esquema Nacional de Seguridad, con gran experiencia en la adaptación a la normativa en las Administraciones Públicas. A través de nuestros servicios participamos activamente en la formación del personal, adaptación y cumplimiento de las medidas de seguridad en estas materias, tratando de evitar en todo momento que se cometan infracciones que puedan dar lugar a procedimientos sancionadores o quejas de los ciudadanos.