La Agencia Española de Protección de Datos en la Resolución de Procedimiento Sancionador relativo al Expediente 202104939, PS-00057-2022 de fecha, 28 de septiembre de 2022 acordó iniciar un procedimiento sancionador el 24 de junio de 2022, por presunta infracción de los artículos 5.1.f) y 32 del RGPD, tipificados en los artículos 83.5 y 83.4 del RGPD por parte del Ayuntamiento de Las Palmas de Gran Canaria, que, transcurrido el plazo que le fue otorgado, no formuló alegaciones.
De las actuaciones de la AEPD, quedó probado que el Ayuntamiento de Las Palmas de Gran Canaria publicó “en su página web, el acta de la Sesión del Pleno de fecha 31/01/2019, donde consta en relación con unas alegaciones que efectuó a una ordenanza municipal, su nombre, apellidos y DNI”, y que dicha información “se encuentra accesible en la web del citado organismo”.
Primeramente, la resolución trae a colación la Ley de Bases de Régimen Local relativa a la publicidad de las actividades municipales, que a su vez se encuentra regulada en su norma de desarrollo – Real Decreto 2568/1986, de 28 de noviembre por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales, que en su art. 229.2 afirma que “la Corporación dará publicidad resumida del contenido de las sesiones plenarias y de todos los acuerdos del Pleno y de la Comisión de Gobierno, así como de las resoluciones del alcalde y las que por su delegación dicten los Delegados”. La Agencia entiende que esa información “resumida” a la que alude el precepto no tiene por qué contener el mismo contenido que las actas de la Junta de Gobierno Local, y con base en el principio básico de minimización de datos, adecuación y necesidad del tratamiento, se “aconseja eliminar del mismo aquellos datos de carácter personal que no sean adecuados, pertinentes y resulten excesivos con la finalidad de ofrecer una información “genérica” a los vecinos, y desde luego en ningún caso deben contener datos de carácter personal sensibles”.
La propia LOPDGDD en su Disposición Adicional Séptima establece: “Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente”.
En la resolución, la Agencia, recuerda que el Ayuntamiento, como cualquier otra entidad pública, está obligado a cumplir con toda la normativa de protección de datos, asimismo, actúa como responsable del tratamiento, en virtud del art 4.7 del RGPD, y concluye que los hechos acaecidos constituyen una brecha de seguridad de confidencialidad, “toda vez que el Ayuntamiento ha revelado información y datos de carácter personal a terceros, sin el consentimiento expreso del titular de dichos datos, al publicar en su página web el acta de la Sesión de Pleno de fecha 31/01/2019, donde consta el nombre, apellidos y DNI del reclamante”.
En primer lugar, la Agencia ha considerado que existen evidencias suficientes para confirmar que el Ayuntamiento vulneró el art. 5.1.f) del RGPD, y que sigue siendo posible el acceso al contenido del Acta a través de internet. La infracción del citado precepto está tipificada en el art. 83.5 del RGPD:
En segundo lugar, la Agencia también ha considerado probado que se ha infringido el Art. 32 del RGPG, que alude a las medidas técnicas y organizativas que debe llevar a cabo el responsable y el encargado del tratamiento, para garantizar un nivel de seguridad adecuado al riesgo. De los hechos puestos de manifiesto ha quedado patente la falta de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al posibilitar la exhibición de datos de carácter personal de un ciudadano con la consiguiente falta de diligencia por parte del Ayuntamiento, permitiendo el acceso no autorizado por terceros ajenos. La infracción del citado precepto está tipificada en el art. 83.4 RGPD:
Por último, la Agencia Española de Protección de Datos aplica el art. 83 RGPD en relación con el art. 77 LOPDGDD al sancionar al Ayuntamiento con apercibimiento por infringir el art. 5.1.f) y 32 RGPD, así como imponer la medida correctiva prevista en el art. 58.2 RGPD, concretamente, “requerir al Ayuntamiento de Las Palmas de Gran Canaria, que implante, en el plazo de un mes, las medidas correctoras necesarias para adecuar su actuación a la normativa de protección de datos personales, que impidan que en el futuro se repitan hechos similares, así como que informe a esta Agencia en el mismo plazo sobre las medidas adoptadas”.
En definitiva, aquellos Ayuntamientos que todavía no hayan adoptado todas las medidas de seguridad y organizativas apropiadas deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación de Administraciones Públicas a la normativa de protección de datos, así como la prestación del servicio de DPD externo en Ayuntamientos, Universidades, Diputaciones...
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted