Los empleados públicos deberán asumir la responsabilidad disciplinaria derivada de los incumplimientos normativos de las Administraciones Públicas en las que desempeñen sus funciones retribuidas. Las Autoridades de Control están comenzando a iniciar procedimientos contra las Administraciones Públicas infractoras de las normas de protección de datos y transparencia, acceso a la información pública y buen gobierno en los que proponen incoar procedimientos sancionadores contra los empleados públicos por los incumplimientos normativos en las Administraciones Públicas en las que trabajan.
Cuando hablamos de Autoridades de Control, nos referimos a organismos que tienen encomendadas funciones de investigación, corrección, de autorización y consultivas, como, por ejemplo, la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos, el Consejo de Transparencia y Protección de Datos de Andalucía, y por el Consejo de Transparencia y Buen Gobierno, entre otros.
Recientes resoluciones del Consejo de Transparencia y Protección de Datos de Andalucía proponen: “iniciar el procedimiento para instar al AYUNTAMIENTO a que incoe el procedimiento sancionador o disciplinario por vulneración de obligaciones de publicidad activa...”; "que se tramite el procedimiento para instar la incoación de un procedimiento sancionador o disciplinario"; y otra que "insta al órgano incoado para que inicie y concluya, si no lo ha hecho ya, expediente disciplinario contra la persona (...)". La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, introdujo en su artículo 13, el derecho de “acceso a la información pública, archivos y registros, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y el resto del Ordenamiento Jurídico”, la cual, en su artículo 6 bis que versa sobre el “Registro de actividades de tratamiento”, reza: “Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica”. En resumen: los administrados tienen derecho a acceder a cierta información y la Administración Pública tiene el deber de poner a disposición del administrado cierta información en la forma que previamente establezca la ley.
Precisamente es en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales donde el inventario o registro de actividades de tratamiento está regulado, concretamente en el artículo 31 (con base en el artículo 30 del RGPD), que establece que “los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento”, e indica que ciertos sujetos, además, “harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos”.
El Registro o Inventario de Actividades de Tratamiento (en adelante, RAT) constituye el conjunto de actividades llevadas a cabo por un responsable cuando las mismas conlleven un tratamiento de datos de carácter personal. Una de las herramientas que el RGPD exige a los responsables, para demostrar su cumplimiento, es el mantenimiento de los registros de actividades de tratamientos de datos que tienen bajo su responsabilidad y control, teniendo en cuenta que la obligada colaboración con la Autoridad de Control exige poner a su disposición dichos registros de operaciones de tratamiento para facilitar las actividades de supervisión realizadas en el ámbito de los poderes que el RGPD le otorga.
Los sujetos obligados a publicar el registro de actividades de tratamiento por medios electrónicos (artículo 77 LOPDGDD) son:
Los sujetos mencionados anteriormente están obligados a publicar en lugar accesible por medios electrónicos el RAT. La falta de cumplimiento podrá dar lugar a que cualquiera de las autoridades de control dicte resolución sancionando con apercibimiento a la Administración Pública -Ayuntamiento, Universidad, ...-, junto a esta sanción se podrán establecer las medidas, incluso disciplinarias, que proceda adoptar para el cese de la conducta y/o para que se corrijan los efectos de la infracción.
Por tanto, la Autoridad de Control competente no solo sancionará al sujeto infractor como hemos visto hasta ahora en multitud de Resoluciones de Expedientes de la AEPD, entre otras, sino que en muchos casos están dando un paso más proponiendo incoar un procedimiento sancionador contra el empleado público responsable de dicha tarea.
Huelga decir que los empleados públicos deben “velar por los intereses generales con sujeción y observancia de la Constitución y del resto del ordenamiento jurídico, y deberán actuar con arreglo a los siguientes principios: objetividad, integridad, neutralidad, responsabilidad, imparcialidad, confidencialidad, dedicación al servicio público, transparencia, ejemplaridad, austeridad, accesibilidad, eficacia, ...”, asimismo, estos también desempeñarán sus funciones respetando “la Constitución y el resto de normas que integran el ordenamiento jurídico” y llevarán a cabo “con diligencia las tareas que les correspondan o se les encomienden”, todo ello en virtud del Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.
En definitiva, ante la evidencia de que numerosos Ayuntamientos continúan incumpliendo la normativa relativa a protección de datos, pues muchos no han dado de alta en el listado acreditado de la AEPD a su DPD, otros no tienen publicado el RAT, y otros no han adoptado las medidas de seguridad adecuadas que eviten brechas de seguridad, cada día veremos cómo aumentan las exigencias las Autoridades de Control. Por tal motivo, contar con los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación integral de Administraciones Públicas a la normativa de protección de datos, puede ser la solución más eficaz.