La Agencia Española de Protección de Datos ha sancionado al Ayuntamiento de Zamora por haber difundido, indebidamente, a través del sistema “Gestiona” un Decreto de Alcaldía a más de 30 personas, cuando el decreto disponía expresamente que se debía comunicar exclusivamente a dos personas, al reclamante y a otro interesado, parte de un procedimiento judicial que tenía relación.
Así las cosas, el decreto, que contenía, entre otros datos, un informe médico forense, datos de salud y datos judiciales, se remitió a todos los Jefes de Servicio, “sin hacer referencia alguna al carácter reservado de los datos contenidos en el mismo, ni garantizar, como es obligación de su cargo, que los mismos no transciendan al exterior”, asimismo, quedó probado que el decreto contenía datos de salud especialmente protegidos, y que la finalidad de trasladar el Decreto es la de “aclarar las dudas de cómo deben tramitar sus expedientes”.
La Directora de la Agencia Española de Protección de Datos acordó iniciar el procedimiento sancionador frente al Ayuntamiento el 10 de agosto de 2022 por presunta infracción del art. 5.1 c) del RGPD, tipificada en el art. 83.5 RGPD. El Ayuntamiento alegó lo todo lo que apreció conveniente para la defensa de sus intereses, y la AEPD, en la Resolución del Procedimiento Sancionador Expediente N.º: EXP202103904 aprovechó para dar respuesta a las mismas:
- Alegó el Ayuntamiento que la finalidad de comunicar el Decreto no era únicamente la de dar instrucciones sobre la tramitación de sus respectivos expedientes, “ya que la razón fundamental de esta comunicación a los Servicios se encuentra en la alarma que se provoca en los mismos ante el hecho que el Sr. ***PUESTO.2 volviera a las andadas, al recuperar las funciones (...), y vuelva a atemorizarles, haciéndoles de menos ridiculizándoles”. La Agencia considera que “la problemática que plantea el AYUNTAMIENTO en lo que respecta a la actuación de la parte reclamante no es objeto del presente procedimiento, que se limita a valorar si se ha incumplido lo establecido en el art 5.1 c) del RGPD”.
- Alegó el Ayuntamiento que no siempre es necesario el consentimiento, la Agencia considera que “lo que se examina es el hecho de incluir tal información en la respuesta a una duda específica, esto es, como tramitar sus expedientes (...)”, dado que “no es imprescindible poner en su conocimiento datos de salud de otros trabajadores del AYUNTAMIENTO”.
- El Ayuntamiento trajo a colación que el periódico publicó una noticia dada su dimensión pública, en este sentido la Agencia entiende que “incluso habiéndose publicado en prensa los datos, ello no exime de responsabilidad a tratamientos posteriores que se realicen. Cada interviniente en los tratamientos es responsable de los tratamientos que efectúa, con independencia que lo hagan otros”.
- El Ayuntamiento alegó que el empleado “***PUESTO.2” se considera una víctima, cuando el acosador es él"; la Agencia recuerda que ese asunto no es objeto del procedimiento.
- El Ayuntamiento alegó que la comunicación es producto de un proceso intelectivo e íntimo en el que se han valorado previamente los efectos. La AEPD considera que no es necesario hacer referencia a los datos de salud para el cumplimiento del propósito pretendido.
- El Ayuntamiento alega que, como Administración, le corresponde “garantizar la salud laboral de todos los empleados municipales, adoptando medidas que antepongan la protección colectiva a la individual”; la Agencia insiste que esta cuestión “no se está dilucidando en el presente procedimiento sancionador”.
- El Ayuntamiento solicitó la práctica de determinadas pruebas, consistentes en declaraciones todas ellas; la Agencia denegó la práctica de todas ellas “por no haberse propuesto en el momento procedimental oportuno”, asimismo, considera que las misma no serían útiles para el fondo del asunto. Por último, la Agencia “no entra a valorar la problemática que pueda existir en el AYUNTAMIENTO con respecto a la actuación de la parte reclamante en el desempeño de sus funciones”, el objeto del procedimiento es únicamente determinar si se ha incumplido el art. 5.1 c) RGPD.
El art. 5 del RGPD sobre “Principios relativos al tratamiento” establece que:
“1. Los datos personales serán:
(...)
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (<>);”.
Con tal precepto, la norma pretende indicar los datos personales que serán “adecuados, pertinentes y limitados a la necesidad” para la que fueron recabados, y dado que no eran necesarios ni pertinentes, más bien lo contrario, excesivos e innecesarios para el fin perseguido, se confirma que el Ayuntamiento ha vulnerado el principio de minimización de datos, y la consecuente infracción del art. 5.1. c) RGPD.
En virtud del art. 9 RGPD, los datos relativos a su salud son datos especialmente protegidos y su tratamiento está prohibido salvo que concurra una de las siguientes circunstancias:
- Consentimiento explícito del interesado.
- Resulte necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
- Resulte necesario para proteger intereses vitales del interesado.
- Es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical.
- Se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
- Es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
- Es necesario por razones de un interés público esencial.
- Es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad.
- Es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
- Es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
En síntesis, a pesar del esfuerzo del Ayuntamiento en su alegato, no concurriendo las circunstancias anteriormente descritas, la Agencia Española de Protección de Datos ha estimado procedente imponer al consistorio una sanción de apercibimiento por infracción del art. 5.1. c) RGPD, tipificada en el art. 83.5 RGPD.
En definitiva, queda patente que numerosos Ayuntamientos continúan incumpliendo la normativa relativa a protección de datos, otros a día de hoy no han nombrado a su DPD, y por ende, no lo han dado de alta en el listado acreditado de la AEPD, en cuyo caso, deben saber que es altamente probable que la AEPD les sancione, si bien, pueden optar por evitarlo si actúan con celeridad contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación integral de Administraciones Públicas a la normativa de protección de datos, así como la prestación del servicio de DPD externo en Ayuntamientos.