La Agencia Española de Protección de Datos ha apercibido a un Cabildo Insular (PS-00009-2022) por haber publicado en internet un informe relativo a un expediente de segregación con numerosos datos personales en el año 2007 y no haber adoptado, posteriormente, las medidas oportunas en virtud de la normativa de protección de datos actual.
El informe, que a su vez contenía un anexo con el título de “Alegaciones expediente de segregación de ***Municipio.1”, junto a otros documentos, quedaron indexados en el buscador de Google durante años, de manera que, si se realizaba una búsqueda por el nombre y los apellidos del reclamante, el primer resultado que aparecía era el mencionado informe, lo que motivó la denuncia ante la Agencia Española de Protección de Datos. Dichos documentos estuvieron accesibles en el portal de transparencia desde 2007 hasta 2021. Concretamente, estaban afectadas 3996 personas residentes en el municipio segregado que realizaron alegaciones en el expediente de segregación, “cuyos datos publicados son de carácter personal, por los cuales los afectados pueden ver afectados su derecho a la intimidad, privacidad o inviolabilidad del domicilio, entre otros”.
El Cabildo, en un primer momento, defendió su actuación afirmando que el “desfase ha sido provocado no por la mala praxis o error en derecho de nuestra corporación, si no por la ausencia (justificada, pues no había norma imperativa que regulara esta función) en aquel entonces de un sistema de transparencia y protección de los datos personales tan eficaz y riguroso como el que existe en la actualidad”.
En primer lugar, debemos recordar que el portal de transparencia “tiene por finalidad promover la transparencia de la actividad pública, velar por el cumplimiento de las obligaciones de publicidad, salvaguardar el ejercicio de derecho de acceso a la información pública y garantizar la observancia de las disposiciones de buen gobierno”.
El Gabinete Jurídico de la AEPD ya se ha pronunciado en otras ocasiones sobre el cambio de paradigma basado en el principio de “accountability” o responsabilidad proactiva, tal y como se recoge en la exposición de motivos de la LOPDGDD: “la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan”. Por ello, la Agencia entiende que correspondía al Cabildo adaptarse a la nueva normativa sin pretender eludir su responsabilidad alegando que no había “informes sobre las medidas de seguridad de los tratamientos, de la documentación acreditativa del Análisis de Riesgos o del Registro de Actividad de los tratamientos donde se produjo el incidente”. En definitiva, el Cabildo debió “haber actuado sobre los datos personales publicados al objeto de minimizarlos y que solo permanecieran accesibles durante el tiempo necesario”.
Durante la tramitación de la reclamación, la AEPD volvió a realizar una búsqueda en Google y pudo comprobar que ya no aparecía indexado el informe y la dirección web daba error. No obstante, ello no fue óbice para que la Directora de la Agencia acordara iniciar un procedimiento sancionador frente al Cabildo por presuntas infracciones de los artículos 5.1.f) -por permitir el acceso a terceros a datos de carácter personal de los vecinos que realizaron alegaciones hace más de catorce años-, 30 -por no contar con un registro de actividades de tratamiento y no tener publicado el inventario de actividades de tratamiento- y 32 -por no acreditar la adopción de medidas técnicas y organizativas adecuadas que garantizasen la anonimización de los datos personales alojados en su portal de transparencia con la finalidad de cumplir con la normativa de protección de datos- del RGPD, tipificadas en los artículos 83.5, 83.4 y 83.4 del RGPD, respectivamente.
“Con fecha 4 de julio de 2022 se formuló propuesta de resolución, proponiendo que por la Directora de la Agencia Española de Protección de Datos se sancione con tres apercibimientos por cada una de las infracciones imputadas al CABILDO DE ***CABILDO.1 con NIF ***NIF.1:
La comisión de las infracciones de los preceptos aludidos podrían sancionarse con “multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, o con “multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, si bien, en este caso concreto, el régimen aplicable al Cabildo, en virtud del artículo 77 de la LOPDGDD, es sancionar con apercibimiento, pudiendo establecerse, además, las medidas que estimen convenientes para que “cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido”.
En síntesis, la Agencia Española de Protección de Datos ha ordenado a la Administración Local a que adopte todas las “medidas para la adecuación de sus tratamientos de datos personales a las exigencias de la normativa de protección de datos, en concreto, la realización de los Análisis de riesgos, de la adopción de las medidas de seguridad derivadas de los mismos, la elaboración de un registro de actividades de tratamiento y la publicación del inventario del Registro de actividades de tratamiento de los que es responsable el CABILDO, así como la aportación de medios acreditativos del cumplimiento de lo requerido, en virtud de lo establecido en el artículo 58.2 del RGPD”.
Por último, el Cabildo dispone de 4 meses para adoptar todas las medidas, y, posteriormente, deberá acreditarlas ante la Agencia en el plazo de 10 días.
En definitiva, el desconocimiento de la norma no exime de su cumplimiento y es por ello que ante la evidencia de que numerosos Ayuntamientos continúan incumpliendo la normativa relativa a protección de datos, pues muchos no han dado de alta en el listado acreditado de la AEPD a su DPD, otros no tienen publicado el RAT, y otros no han adoptado las medidas de seguridad adecuadas que eviten brechas de seguridad; el hecho de contar con los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación integral de Administraciones Públicas a la normativa de protección de datos, puede ser la solución más eficaz, incluso cuando ha comenzado el tiempo de descuento.