Sanción de la AEPD por publicar un acta de la Sesión del Pleno en la web

La Agencia Española de Protección de Datos ha resuelto un procedimiento sancionador seguido contra un Ayuntamiento por publicar un acta de la Sesión del Pleno en la página web del Ayuntamiento, en el acta constaban unas alegaciones a una ordenanza municipal con los datos personales y el número de DNI del autor.

La Agencia pudo comprobar que el documento se encontraba accesible a través de la web del consistorio, por ello, sancionó, en agosto de 2022, al Ayuntamiento de Las Palmas de Gran Canaria con una sanción de apercibimiento y le instó a adoptar medidas correctoras para impedir que hechos de ese tipo se volviesen a repetir en el futuro.

Para la adopción de tales medidas le concedió el plazo de un mes, sin embargo, transcurrido dicho plazo, la Agencia no recibió respuesta por parte del Ayuntamiento. Paralelamente, el Defensor del Pueblo solicitó información “sobre las actuaciones llevadas a cabo por el Ayuntamiento conducentes a cumplir con lo ordenado en la resolución”, lo que llevó a la AEPD a requerir nuevamente al Ayuntamiento, para que, en el plazo de diez días hábiles, acreditara ante la Agencia “haber adoptado las medidas correctoras oportunas, en atención a lo acordado”. Sin respuesta.

Ante la inactividad del consistorio, el pasado 30 de noviembre de 2022, la Directora de la AEPD acordó iniciar un nuevo procedimiento sancionador frente al Ayuntamiento por presunta infracción del Art. 58.2 RGPD, tipificado en el Art. 83.6 RGPD, que le fue notificado el 13 de diciembre de 2022. El 27 de diciembre de 2022, el autor de las alegaciones cuyos datos estaban expuestos y que originaron el primer procedimiento, volvió a poner de manifiesto que el acta seguía estando accesible en la página web del Ayuntamiento a través del buscador “Google”, y, efectivamente, la Agencia corroboró tales hechos el 24 de enero de 2023.

El Ayuntamiento alegó, tras la notificación del acuerdo de inicio del procedimiento sancionador, que realizó las gestiones necesarias para impedir el acceso a dicha acta desde buscadores de internet, y que se han tomando medidas por parte de los técnicos de la web municipal "con la finalidad de garantizar la seguridad y la confidencialidad de los datos de carácter personal”; también ha elaborado un “Protocolo de publicación de actos administrativos y anuncios” que establece el modo de publicar actos administrativos que contengan datos personales. Debe tenerse en cuenta que las medidas debían haberse adoptado en el plazo de un mes desde la fecha en la que se notificó la resolución del procedimiento sancionador de origen, que fue el 16 de agosto de 2022, pero, para más inri, no solo no se recibió contestación alguna por parte del Ayuntamiento hasta que se inició el segundo procedimiento, si no que no ha quedado acreditado “que las medidas necesarias hayan sido implementadas, puesto que el acta sigue siendo accesible en el enlace” en enero de 2023.

Por todo ello, el Ayuntamiento no ha ocultado su interés por adquirir una herramienta tecnológica para la anonimización de datos y ha firmado un contrato de encargado de tratamiento, con una empresa especializada.

Junto a estas medidas, el Ayuntamiento va a llevar a cabo formaciones específicas en materia de protección de datos con el fin de concienciar a los empleados públicos de la importancia de la protección de datos en el seno de la Administración Local, y que hechos de este tipo no vuelvan a ocurrir.

Debemos recordar que la infracción del art. 58.2 RGPD, a la que estamos haciendo referencia, se tipifica en el artículo 83.6 del RGPD, que estipula lo siguiente:

“El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.”

En conclusión, la Directora de la Agencia ha considerado que el Ayuntamiento de Las Palmas de Gran Canaria ha infringido el Art. 58.2 RGPD, que si bien está tipificado en el precepto citado anteriormente, al tratarse de una Administración Local, en virtud del Art. 77 de la LOPDGDD, le impone una sanción de apercibimiento.

Aquellos Ayuntamientos que necesiten un asesoramiento adaptado a sus necesidades y prestado por técnicos y especialistas jurídicos en la materia con amplia experiencia en adaptación integral de Administraciones Públicas a la normativa de protección de datos, así como la prestación del servicio de DPD externo, ENS, entre otros, pueden solicitar información a Unive Abogados.