La Agencia Española de Protección de Datos ha sancionado al Ayuntamiento de Salinas de Pisuerga al constatar que ha infringido los art. 5.1.f) y 32.1 del RGPD, tipificados en los artículos 83.5.a) y 83.4.a) del RGPD, con una sanción de apercibimiento, por permitir el acceso irregular de un tercero ajeno a un expediente administrativo obrante en el ayuntamiento y publicar un acta en Facebook sin anonimizar.
La reclamación fue interpuesta por el vecino interesado el 16 de junio de 2021, manifestando que un tercero, miembro del consejo ciudadano, tuvo acceso a un expediente administrativo en el que se regulaba una obra de construcción impulsada por él. El vecino, titular de la obra, sostiene en su reclamación que es imposible conocer esos datos sin haber tenido acceso al expediente administrativo, en cambio no figura en el Registro ninguna “solicitud formal de acceso al mismo, por lo que entiende que ha accedido a la información de manera irregular”; asimismo, señala, que también se publicó el acta de la reunión en la página de Facebook y en ella figura su nombre y apellidos -todo ello sin su consentimiento-. Aportó a la AEPD copia del acta y una fotografía de la página de Facebook en la que se puede ver la publicación del acta.
La Agencia indica que las medidas de seguridad adoptadas por el consistorio deben ser “adecuadas y proporcionadas al riesgo detectado” y que deberán tenerse en cuenta, entre otras: “la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas”. El hecho de que el Ayuntamiento utilice la herramienta de administración electrónica “Gestiona”, que está “certificada de conformidad con el Esquema Nacional de Seguridad con categoría ALTA, con el certificado AENOR de prestador de Servicios de confianza cualificados, certificación ISO 27001 de Seguridad de la Información y con el cumplimiento del RGPD”, no es indicador del cumplimiento de sus labores proactivas para la aplicación de las medidas de seguridad oportunas, y no le exime de tomar otras medidas adicionales que refuercen la protección de la información, pues tal y como ha sucedido, la quiebra se ha producido al no registrar los accesos a los expedientes en papel por parte de los funcionarios.
La AEPD ha considerado acreditado que el Ayuntamiento ha incumplido la normativa de protección de datos, en concreto los artículos 5.1.f) y 32.1 del RGPD, al publicar en Facebook los datos de carácter personal del reclamante y posibilitar el acceso al expediente administrativo, vulnerando las medidas técnicas y organizativas, y le ha impuesto sanciones de apercibimiento, en su Resolución PS-00021-2022 (EXP202100354) de 27 de septiembre de 2022, asimismo, la Agencia aprovecha la ocasión para señalar que no corregir dichas deficiencias adoptando las medidas adecuadas, reiterar la conducta y no informar de las medidas adoptadas “podría dar lugar al ejercicio de posibles actuaciones ante el responsable del tratamiento a fin de que se apliquen de manera efectiva las medidas apropiadas para garantizar y no comprometer la confidencialidad de los datos de carácter personal y el derecho a la intimidad de las personas” y le requiere para que en el plazo de un mes “acredite la adopción de medidas técnicas y organizativas necesarias y pertinentes de conformidad con la normativa en materia de protección de datos de carácter personal a fin de evitar que en el futuro vuelvan a producirse incidencias como las que han dado lugar a la reclamación corrigiendo los efectos de su posible infracción, adecuando el tratamiento de los datos de carácter personal a las exigencias contempladas en los artículos 5.1.f) y 32.1 del RGPD”.
En síntesis, vemos que viene siendo habitual que la AEPD requiera a los entes infractores a que en el plazo de un mes desde la notificación se adopten todas las medidas técnicas y organizativas necesarias para cumplir con la normativa de protección de datos, plazo que, como expertos en la materia consideramos brevísimo, pues los Ayuntamientos deben cumplir con unos estándares superiores por el simple hecho de ser una Administración Pública, aunque si bien, dependerá de la envergadura y características concretas del ente local en cuestión.
Recomendamos a todos aquellas entidades locales y Administraciones Públicas que no tengan adoptadas las medidas técnicas y organizativas acordes con la normativa de protección de datos, para la protección y la seguridad de la información que incluya datos de carácter personal, que no se demoren, pues la proactividad de los responsables del tratamiento es uno de los principios que en materia de protección de datos es importante cumplir. La sanción es evitable si se cuenta con el asesoramiento adecuado de abogados y técnicos especialistas en la materia.
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted