Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 47

A continuación examinaremos resoluciones dictadas por la AEPD en relación a actuaciones producidas en el marco de la gestión pública que resultan de interés.

1.– Divulgación vía whatsapp de datos personales contenidos en documento registrado ante una administración pública. Procedimiento No: PS/00142/2019.

En el presente caso se analiza una resolución de la AEPD en la que se examina la actuación de divulgación, vía whatsapp, de datos personales contenidos en un documento presentado en un registro público municipal y el acceso a la información por los Concejales de un ayuntamiento5.

• Hechos probados

.– Comunicación en un grupo de whatsapp de una captura de pantalla que se corresponde con un escrito presentado por el reclamante en el registro general de entrada del ayuntamiento en el que se incluyen datos personales, siendo el remitente Concejal de dicho ayuntamiento.

.– Tanto los empleados municipales y los Concejales del ayuntamiento pueden acceder a la aplicación de gestión informática digital de expedientes administrativos contratada por el Ayuntamiento y a la que se accede mediante claves de usuario y contraseña.

.– No consta que al reclamante se le informara por el reclamado del uso de determinada aplicación en cuanto a materia y repercusiones de protección de datos cuando suceden los hechos.

.– A partir del nombramiento y designación del delegado de protección de datos y en el periodo de pruebas, la reclamada indica que se están llevando a cabo acciones formativas en protección de datos al personal municipal y a Concejales.

• Fundamentos de derecho

El funcionamiento del registro del ayuntamiento se regula por lo establecido en la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPAC) y por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en adelante, LRJSP), en cuanto a la transmisión de datos. El documento presentado por el reclamante en el Ayuntamiento contiene datos cuyo responsable de gestión y custodia es el Ayuntamiento y su carácter y destino no son la difusión para conocimiento de terceros. En este caso, el Ayuntamiento como responsable del personal que tiene acceso a dicho documento, y responsable del citado tratamiento está obligado a poner los medios y medidas para que todo su personal conozca y cumpla las responsabilidades en el manejo de datos personales, tenga acceso solo el personal asignado, y dentro de las medidas técnicas y organizativas en el tiempo de su despacho y tras el mismo, ya que el escrito presentado por el reclamante como un asunto a gestionar, es susceptible de identificar a su firmante a través de los datos que se contienen y lo relaciona en cuanto a la materia, con la clasificación de su petición. El acceso a la imagen que fue enviada por whatsapp objeto de la reclamación, se realizaba a través de contraseña y usuario y en la pestaña de registro de entrada se podía hacer la búsqueda o por día.

En sus alegaciones, el ayuntamiento indica que el acceso de los Concejales a la aplicación informática de gestión de expedientes se produce sólo a los asuntos del ramo de gestión de cada uno, aunque no detalla cómo discriminar tales accesos. Sin embargo, en realidad parece que nos encontramos entre un acceso indiscriminado a toda la documentación presentada en el registro, no a una solicitud de acceso individualizada.

Sobre este tema es obligada la cita al informe de la Agencia de protección de datos vasca, Cn16-006, relativo a las solicitudes de acceso de los concejales a los registros de entradas y salidas del ayuntamiento:

“El análisis de esta cuestión implica valorar la tensión existente entre el derecho de participación en los asuntos públicos reconocido en el artículo 23 de la Constitución y el derecho a la privacidad de los ciudadanos, derecho fundamental extraído del artículo 18.4 del Texto Constitucional. Esta cuestión ha sido ya analizada por la Agencia Vasca de Protección de Datos en diferentes dictámenes, cuya doctrina intentaremos resumir.

El artículo 23 anteriormente citado consagra el derecho de los ciudadanos a participar en los asuntos públicos, directamente o por medio de representantes, libremente elegidos en elecciones periódicas por sufragio universal.

Por su parte, el artículo 77 de la Ley 7/1985, de 2 de abril, de Bases del Régimen Local (en adelante LRBRL) establece que:

“Todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función.

En este caso nos encontramos ante la posible colisión de dos derechos fundamentales, pues al lado del derecho a la protección de datos personales, hay que dirimir si estamos ante el derecho fundamental de participación política artículo 23 de la Constitución Española. La limitación del mismo hace que el derecho pudiera perder toda su eficacia si el ejercicio del cargo de Concejal resultara mediatizado o impedido arbitrariamente a través de la denegación de la información necesaria, pero tampoco se le puede dar un acceso por defecto a todos los datos en todos los ámbitos de partida como puede ser el acceso a los sistemas de información de gestión de expedientes, ya que el citado derecho es un derecho de configuración legal.

Debe recordarse asimismo el principio general de tratamiento de datos el de “minimización de datos” que establece el artículo 5.1.c del RGPD que los datos personales serán: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

La LRBRL no prevé por tanto un acceso indiscriminado a la información municipal, que es lo que participa el reclamado con los Concejales, pues si bien estos representan a los ciudadanos del municipio, no por ello han de tener acceso permanente a todos sus datos en cualquier momento, máxime en los asientos registrales pueden incluirse datos de carácter personal de toda índole, como los de categoría especial: salud, o relativos a afiliación sindical o documentos que ni siquiera se dirijan a la Administración receptora, sino que estén destinados a otra Administración Pública. Ni en todas sus actuaciones puede encontrar amparo el fundamento en el artículo 23 CE, debiendo discriminar aquellos casos en los que se encuentran protegidos por el rango de constitucionalidad de aquéllos en los que no.

En el caso analizado, la reclamada proporcionó acceso al concejal que obtiene el dato, sin informar ni a su personal ni a los concejales de las limitaciones de uso de los datos a los que accede. En este punto hay que recordar que según lo dispuesto en el artículo 15 del Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización y Funcionamiento de las Entidades Locales (ROF) los miembros de la Corporación tienen el deber de guardar reserva en relación con las informaciones que se les faciliten para hacer posible el desarrollo de su función, singularmente de las que han de servir de antecedente para decisiones que aún se encuentren pendientes de adopción, así como para evitar la reproducción de la documentación que pueda serles facilitada, en original o copia, para su estudio. Es decir, que además de las limitaciones en el uso de la información obtenida en el ejercicio de su cargo, existe también un deber de sigilo en la propia normativa de régimen local.

En el caso analizado el acceso a dicho documento es posible porque el reclamante autoriza como usuario del sistema de entradas y salidas del registro a un Concejal del Ayuntamiento, cargo que se halla en el seno de la organización del responsable del tratamiento, sin el cual, no se habría producido la conducta denunciada.

La Agencia estima que se ha infringido el artículo 5.1.f) del RGPD que indica 1. Los datos personales serán:

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

A lo que cabe añadir el apartado dos del artículo 5 que indica:

“2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (‘responsabilidad proactiva’)”.

Obligación que se concreta, en el ámbito del ordenamiento jurídico interno, en el artículo 5 LOPDGDD.

Por otro lado, se imputa al reclamado la infracción del artículo 25.2 del RGPD, que especifica el tratamiento de datos establecido por defecto, que indica:

“2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.

Contemplada asimismo en el artículo 28.2 de la LOPDGDD.

De los hechos considerados probados se acredita que el reclamado no ha perfilado ni ha analizado las necesidades reales de acceso a la información de los concejales en el acceso a los datos con las funciones concretas de control especifico que le atribuye la normativa. Y, por otra parte, debería haber limitado los accesos generales a la base de datos de gestión de expedientes de los concejales, dado que no es preciso el contacto permanente con dichos datos y accesos, y haberse establecido así por defecto en el sistema. El establecimiento de estas medidas se encamina a la salvaguarda de los derechos individuales, siendo pues su óptica distinta de la infracción del principio establecido en el artículo 5.1.f del RGPD.

Desde el punto de vista sancionador, el artículo 83.5 a) del RGPD, considera que la infracción de “los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9” es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

• Medidas correctoras y sanción

La AEPD impone como medida correctora que la reclamada corrija el acceso indiscriminado a todas las entradas de escritos a todos los Concejales, y se articula conforme determina la normativa examinada, instruyendo expresamente del uso de los datos a los que tengan acceso. Es decir, que el acceso indiscriminado a la información del registro de entrada del ayuntamiento no se ajusta al régimen jurídico en materia de protección de datos, siendo preciso articular, por una parte, el sistema de acceso y la protección correspondiente, sin perjuicio del ejercicio del derecho al acceso a la información que les corresponde en el marco del derecho a la participación política.

Esta medida correctora cobra especial importancia en el contexto del funcionamiento electrónico de las administraciones públicas, con acceso indiscriminado a la información por parte de empleados y responsables políticos a datos personales y que está teniendo ya graves consecuencias, no en el marco del derecho sancionador sino con consecuencias de tipo penal6.

En consecuencia se impone a la entidad municipal:

– una sanción de apercibimiento, por una infracción del artículo 5.1.f) del RGPD, de conformidad con el artículo 83.5 a) del RGPD.

– una sanción de apercibimiento, por una infracción del artículo 25 2 del RGPD, de conformidad con el artículo 83.5 a) del RGPD.

2.– Publicidad, vía whatsapp, del listado de las mesas electorales. Procedimiento E/06099/2019.

En este caso la resolución analizada de la AEPD versa sobre la difusión vía whatsapp de los listados de las mesas electorales de un determinado municipio en los que se incluyen datos de carácter personal7.

• Hechos

Los motivos en los que se basa las reclamaciones, en síntesis, son que se haya hecho público a través de Whatsapp del listado de las mesas electorales constituidas en el municipio para las elecciones de 28/04/2019 encontrándose incluidos los reclamantes como segundos vocales publicándose información del nombre, DNI y dirección completa; información que fue fotografiada y distribuida por alguien que tenía acceso a la misma dentro del Ayuntamiento.

En este caso, de la documentación obrante en el expediente se desprende, por una parte, la ausencia del elemento subjetivo de culpabilidad necesario para ejercer la potestad sancionadora al no haberse podido desvelar la autoría de los hechos reclamados. Y, por otra, la ilicitud del tratamiento de los datos de carácter personal de los reclamantes.

Para aclarar lo sucedido la propia Alcaldía se ha comprometido en llevar al Pleno del Ayuntamiento la creación de una Comisión Especial de Investigación para realizar averiguaciones precisas sobre la difusión por la red social Whatsapp del listado de los miembros de las mesas electorales en las elecciones llevadas a cabo el 28/04/2019; en esta propuesta se propone que la Comisión de Investigación realice una serie conclusiones finales en el plazo de un mes desde su creación y estas conclusiones serán remitidas a esta Agencia en el plazo máximo de diez días desde su adopción.

La ausencia del elemento subjetivo de culpabilidad se presenta fundamental en el análisis de este caso porque al Derecho Administrativo Sancionador, por su especialidad, le son de aplicación, con alguna matización pero sin excepciones, los principios inspiradores del orden penal, resultando clara la plena virtualidad del principio de presunción de inocencia, conforme lo ha definido el Tribunal Constitucional en su Sentencia 76/1990, de 26 de abril, en relación con el derecho a la presunción de inocencia y del principio de culpabilidad.

De ahí que en este caso y ante la ausencia de dicho elemento subjetivo se proceda al archivo de las actuaciones, aunque resultaría relevante conocer las conclusiones de la investigación interna y en qué medida se adoptaron las medidas oportunas y convenientes para preservar la información recogida en las listas electorales. No se trata de un tema sencillo, a la vista del procedimiento electoral que contempla la exposición de los propios listados, pero, a la vista de la numerosa actividad sancionadora tanto de la autoridad de control estatal como autonómica en la materia, requiere de un mayor análisis por parte de las autoridades locales.

3.– Comunicación de datos del censo electoral vía whatsapp. Procedimiento 280/2020.

En este caso la Resolución de la AEPD se produce en relación a una comunicación de datos personales entre un Concejal y la policía local a través de whatsapp, procedentes de los listados del censo electoral8.

• Hechos probados

Se constata el envío de un mensaje de whatsapp por parte de un Concejal a la policía local en el que se recogen 9 imágenes de documentos que contienen los datos de nombre y apellidos, DNI, dirección, número de elector y cargo en la mesa de las personas, que, según el sorteo celebrado, integrarían las mesas electorales del municipio en las elecciones.

El reclamado, que es el Concejal, no la administración pública, declara haber tomado fotografías de forma espontánea con su teléfono móvil particular de los documentos relativos a la composición de las mesas electorales y haberlos comunicado a la Policía Municipal con una finalidad informativa.

No consta acreditada la difusión de los documentos a una lista de distribución.

• Fundamentos de derecho

Los datos objeto de comunicación son datos de carácter personal, por lo que se imputa al reclamado la comisión de una infracción por vulneración del artículo 5.1.f) del RGPD, que señala que los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (‘integridad y confidencialidad’)”.

La infracción se tipifica en el artículo 83.5 del RGPD

El artículo 5.1.f) del RGPD establece el principio de confidencialidad como uno de los principios básicos que se deben observar en todo tratamiento de datos personales. Sobre esta obligación, el Considerando 39 de la misma norma dispone que “[…] los datos deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento”. En nuestro ordenamiento, asimismo, esta cuestión viene remarcada por el artículo 5 de la LOPDGDD de manera complementaria al deber de secreto profesional.

Debemos señalar que el sorteo electoral para designar a los miembros de las respectivas mesas que deben formarse en el marco de un proceso electoral es competencia del Pleno de la Corporación y, en consecuencia, todos los miembros de la Corporación tienen libre acceso a esta información, si bien debe distinguirse entre el acceso a la información y su difusión. En base a lo anterior, puede considerarse, de conformidad con los hechos probados, que aun cuando el reclamado tuvo conocimiento y acceso legítimo a esos estadillos por cuanto estos formaban parte de la documentación relativa al sorteo electoral que fue comunicada al Pleno del ayuntamiento y él formaba parte del mismo en calidad de concejal, no actuó con la diligencia debida en aras a garantizar la debida confidencialidad de los datos personales contenidos en la citada documentación, efectuando, en cambio, una comunicación de los mismos.

El hecho de que esta comunicación fuera realizada a otra instancia municipal (Policía Local) con una finalidad informativa puesto que, de acuerdo con lo declarado por el reclamado en la contestación al traslado de la reclamación, dicha instancia sea la encargada de entregar las notificaciones del sorteo, no puede suponer una validación de su actuación. Es necesario señalar en este punto que, en virtud de la LOREG, es al Ayuntamiento como ente al que le compete la formación de las mesas electorales y su posterior comunicación a las personas designadas, actuando, en estas funciones, bajo el mandato de la administración electoral.

Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en el artículo 58.2 d) del citado Reglamento es compatible con la sanción consistente en multa administrativa.

Sin perjuicio de lo establecido en el artículo 83 del RGPD, el citado Reglamento dispone en su art. 58.2 b) la posibilidad de sancionar con apercibimiento, en relación con lo señalado en el Considerando 148:

“En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante”.

En el presente caso, al decidir la sanción que corresponde imponer, se han tenido en cuenta los siguientes elementos:

– Que se trata de una persona física cuya actividad principal no está vinculada con el tratamiento de datos personales, un Concejal.

– Que no se aprecia reincidencia, por no constar la comisión de infracciones anteriores.

Una vez más nos encontramos con la necesidad de que las administraciones públicas, de un modo especial en el ámbito local, refuercen las actividades de formación, sensibilización y capacitación de los actores que tienen acceso a la información con datos personales para evitar la comisión de actuaciones como la descrita.

• Sanción

En este caso, se impone una sanción de apercibimiento, por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD.

4.– Publicación de imagen de fotografía obtenida de Facebook en programa fiestas municipales. Procedimiento No: PS/00130/2020.

En este caso, la resolución de la AEPD se pronuncia sobre la actuación de un ayuntamiento que, en la elaboración de un programa de fiestas incluye una fotografía de dos personas, fotografía que se obtiene directamente de la red social Facebook9.

• Hechos probados

.– La reclamante indica que el reclamado, un Ayuntamiento, publicó en papel un programa de fiestas de la localidad y se repartió por los buzones y a los visitantes de la localidad, que según el reclamado cuenta con 229 habitantes, y, que para la ocasión, editó 150 programas.

En el citado programa aparecen dos fotografías en las que aparece junto a su hermano fallecido el 24/04/2018, que lleva en la contraportada la reseña del organizador de los eventos, el ayuntamiento. La reclamante manifiesta que las dos fotografías citadas son de ella con su hermano fallecido y que las imágenes se cogieron de redes sociales, FACEBOOK exponiendo sus datos sin su consentimiento.

.– Según el reclamado, la reclamante nació en esa localidad y la imagen muestra “al vecino fallecido que pertenecía a una familia con arraigo en la localidad y apreciado por la misma” y que la finalidad del uso de las imágenes “era homenajear a su hermano”.

.– Manifestó el reclamado, que las fotos se cogieron de FACEBOOK del fallecido, añadiendo que la exposición del dato de la reclamante en las fotos en inseparable de la finalidad buscada, y que se ampara en normativa vigente de sus competencias de acordar creación de medallas emblemas, condecoraciones u otras distinciones honorificas, a fin de premiar especiales merecimientos o servicios extraordinarios, RD 2568/1986 de 28/11.

En cuanto a la consideración hecha por el reclamado de que los datos en redes sociales tienen el carácter de públicos debe tenerse en cuenta que la normativa de protección de datos no efectúa una distinción entre datos públicos y privados, permitiendo, sin más, el uso de datos que los afectados hayan hecho públicos, sino que otorga con carácter general una protección a los datos personales determinando aquéllos supuestos en que dicho tratamiento resulta conforme a la misma.

Así en lo que a datos personales tratados en el marco de las redes sociales se refiere, el Grupo de Trabajo del artículo 29, órgano consultivo independiente de la UE sobre protección de los datos y la vida privada, en su Dictamen 5/2009 relativo a las redes sociales en línea señala que cuando una persona se convierte en usuaria de una red social, tiene “una expectativa legítima de que los datos personales que revelan sean tratados de acuerdo con la legislación europea y nacional relativa a la protección de datos y de la intimidad”. En este sentido ya el Memorándum de Roma, adoptado en marzo de 2008 por el Grupo de Trabajo internacional de Berlín sobre protección de datos en las telecomunicaciones pone de manifiesto que los datos personales contenidos en las redes sociales no constituyen datos de libre uso al señalar que “Social Networks sites are not –while the term ‘social’ may suggest otherwise- public utilities”.

Por consiguiente, no existiendo en el marco regulador de la protección de datos tal distinción entre datos públicos y privados, el tratamiento de los datos suministrados voluntariamente a una red social que resulten accesibles a todos los miembros de la misma con una finalidad distinta de aquellas para las que el usuario ha prestado su consentimiento informado debe encontrar un fundamento en el RGPD, siendo contraria a la misma en otro caso. En este supuesto la fotografía de la reclamante fue recogida sin consentimiento de ésta, según el reclamado, del perfil de FACEBOOK de su hermano fallecido, y expuesta en un programa de fiestas, formato en papel en el que era perfectamente identificable.

La responsabilidad de dichos hechos corresponde al reclamado como responsable del tratamiento que queda definido en el artículo 4.7 del RGPD que indica

“responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

La base alegada por el reclamado es la del artículo 6.1.e) del RGPD.

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

Entiende con ello que se incluye con esa referencia, la realización de homenajes a personas o personalidades de especial significado para el municipio. Con ello el reclamado refiere una base legitimadora para un tipo de tratamiento, el del fallecido, para poder rendir homenaje a una persona por ser significativa en el municipio, con una base legitimadora establecida para los casos en que se tratan datos de carácter personal, que se rigen por el ámbito de aplicación de la normativa, y el del hermano fallecido de la reclamante no es dato de carácter personal en el sentido que el reclamado pretende, ni aquí se valora ese dato sino el de la reclamante, para la que no aporta base legitima de tratamiento.

Se considera que, si los datos del fallecido aparecen excluidos del ámbito de aplicación del RGPD, no así los de la reclamante, y sin entrar a valorar profundamente si se cumple o no la misma base legitimadora, a simple vista se aprecia que la reclamante al no ser la persona que se quiere recordar, no le sería aplicable dicha base que la reclamada considera se desprenden de sus competencias y funciones públicas.

A tal efecto, conviene recordar que cualquier tratamiento de datos precisa de una base jurídica, junto a una especificación de un propósito legítimo en todas las circunstancias en que se traten datos personales, tanto en el sector privado como en el público.

Por ello, se acredita la comisión de la infracción imputada del artículo 6.1 del RGPD, que indica las condiciones sobre las cuales será lícito el tratamiento de datos personales. En el presente supuesto se imputa al reclamado la comisión de la infracción del artículo 6.1 del RGPD al no acreditar que concurra alguna base de las señaladas como título legitimador de la exposición de la imagen de la reclamante.

• Sanción

Se impone una sanción de apercibimiento al Ayuntamiento por una infracción del artículo 6.1 del RGPD, de conformidad con el artículo 83.5 a) del RGPD.

5.– Brecha de seguridad. Procedimiento PS/00187/202.

En este caso, la resolución de la AEPD analizada examina la presunta infracción de en relación con una notificación de una brecha de seguridad, con el agravante de comisión reiterada en el tiempo y con previas resoluciones sancionadoras10.

• Hechos probados

.– La Subdirección General de Nacionalidad y Estado Civil (SGNEC) notifica a la AEPD una brecha de seguridad de los datos personales de fecha 22/11/2019 tras tener conocimiento a través de un correo electrónico por parte de un ciudadano de una notificación de concesión de la nacionalidad española correspondiente a otra persona (tratamiento relativo a una determinada aplicación).

.– La brecha de seguridad notificada alcanza a 34 afectados y posteriormente incorporaron otros 2 más, hasta 36, todos ellos relativos a resoluciones de nacionalidad indebidamente notificadas a terceros ajenos. La brecha de seguridad fue comunicada a los interesados el 16/01/2020.

.– La brecha de seguridad tuvo su origen técnico en una modificación en el proceso de generación de resoluciones de concesión de nacionalidad por residencia que se había realizado en la aplicación de tramitación de expedientes de nacionalidad por residencia.

.– Los datos personales afectados en la brecha de seguridad corresponderían al NIE (Número de Identificación de Extranjero), nombre, apellidos, lugar y fecha de nacimiento, domicilio en el momento de presentar la solicitud, la propia concesión de nacionalidad y copia del certificado de nacimiento (en el que figuran nuevamente datos de fecha y lugar de nacimiento y nombre y apellidos de los progenitores).

.– Consta que la SGNEC, dependiente orgánicamente de la SGICSPJ, ha registrado otros dos incidentes de seguridad de los datos personales, en fechas 28/06/2019 y 31/10/2019, también con notificaciones incorrectas por error de destinatarios al comunicar concesiones de nacionalidad, con 11 y 70 personas afectadas respectivamente y ya solucionado. Dichas brechas de seguridad fueron debidamente notificadas a la AEPD pero no consta que fueran comunicadas a los afectados.

.– Consta, con fecha 5/09/2018, la AEPD dictó resolución de procedimiento sancionador de referencia AP/00049/2018, en el que se sancionó por los mismos hechos a los ahora investigados a la Dirección General de los Registros y del Notariado dependiente de la Subsecretaria de Justicia (ahora DGSJFP, dependiente de la SGICSPJ). En concreto, en el citado expediente sancionador quedó acreditado y así consta en los hechos probados, que “La División de Tecnologías de la Información y Comunicaciones del Ministerio de Justicia informó que el servicio no contemplaba la concurrencia y se equivocó al componer el certificado de nacimiento”.

.– Respecto de los tratamientos llevados a cabo por la SGNEC, consta haber realizado una EIPD (evaluación de impacto relativa a la protección de datos) en junio de 2019, que contiene un análisis de riesgos (AR) asociado los tratamientos de datos que gestiona. Sin embargo, no consta actualización del AR y EIDP en las modificaciones de los tratamientos llevados a cabo el 22/11/2019 que dieron lugar a la brecha de seguridad de esa fecha. Sin embargo, en alegaciones a la propuesta de resolución se aporta la adecuada actualización al RGPD, LOPDGDD y ENS de los tratamientos llevados a cabo por la investigada así como la implantación de las medidas correctoras tanto activas como proactivas para evitar la repetición en el futuro de hechos similares.

• Fundamentos de Derecho

El artículo 5.1.f) del RGPD, Principios relativos al tratamiento, señala lo siguiente:

“1. Los datos personales serán:

(…)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (‘integridad y confidencialidad’)”.

En el presente caso, la brecha de seguridad debe ser calificada de integridad y de confidencialidad como consecuencia:

– de la falta de seguridad adecuada y medidas técnicas u organizativas apropiadas (integridad), y

– por los accesos no autorizados a datos personales por terceros ajenos (confidencialidad), ambos principios regulados en el mismo artículo 5.1.f) del RGPD.

Establece el artículo 25 del RGPD, lo siguiente:

Protección de datos desde el diseño y por defecto

En este sentido, y respecto a la alegación referida a que la brecha de seguridad que dio lugar al procedimiento sancionador AP/00049/2018 (resuelto el 5/09/2018) se corresponde a “tratamientos de datos completamente diferentes”, no se puede acoger, pues el origen de las brechas analizadas tiene causa común en la falta de previsión desde el diseño del factor de concurrencia en los procesos de ambos aplicativos.

Respecto a lo dispuesto en el artículo 32 RGPD (seguridad del tratamiento), consta que el responsable del tratamiento no aplicó las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo; riesgo que ni siquiera fue evaluado en la actualización de la nueva versión del aplicativo.

Respecto a lo dispuesto en el artículo 34 RGPD(comunicación de una violación de seguridad de los datos personales al interesado), cabe señalar que de las actuaciones practicadas se desprende que la SGICSPJ, a través de la SGNEC, notificó a la AEPD la brecha de seguridad de datos personales y lo comunicó a los interesados el 16/01/2020. Sin embargo, la investigada afirma también que hubo dos brechas de seguridad similares y previas a la ahora investigada, brechas notificadas a la AEPD (artículo 33 RGPD) pero no consta que hayan sido comunicadas a los interesados.

De los hechos descritos consta que la SGICSPJ, como responsable de los tratamientos analizados y a través de sus órganos jerárquicamente dependientes, no aplicó las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, toda vez que consta acreditado que terceros ajenos tuvieron acceso a información reservada al interesado (solicitante de nacionalidad española) como consecuencia del mal funcionamiento en la puesta en producción de la nueva versión de la aplicación.

Los riesgos en el tratamiento contemplados en la nueva versión de la aplicación debió ser tenido en cuenta y evaluado por el responsable del tratamiento (SGICSPJ) a través del preceptivo análisis de riesgos y en su caso evaluación de impacto y, en función del mismo, haber establecido las medidas técnicas y organizativas que hubieran impedido la pérdida de control de los datos personales de los solicitantes de nacionalidad española como consecuencia de la reiterada y ya conocida falta de previsión de procesos concurrentes en el tratamiento de datos de los diferentes aplicativos.

En este caso en particular cobra importancia la circunstancia de que el nivel de riesgo y el impacto ya eran conocidos con antelación toda vez que consta en la AEPD un expediente sancionador por hechos similares, a pesar de lo cual no se adoptaron las medidas oportunas.

La consecuencia de esta ausencia en el control de los tratamientos de datos desde el diseño y por defecto (artículo 25 RGPD) y de la implantación de medidas de seguridad apropiadas (artículo 32 RGPD) al riesgo de la nueva versión de la aplicación causante de la brecha de fecha, fue la pérdida de integridad y confidencialidad de los datos personales, vulnerando los dos principios recogidos en el artículo 5.1.f) del RGPD.

En el presente caso constan vulnerados los artículos 25, 32 y 34 del RGPD, tipificados en el artículo 83.4 del RGPD y vulnerado el principio de confidencialidad, por lo que es de aplicación la tipificación que señala el artículo 83.5 del RGPD.

Por su parte, el artículo 71 de la LOPDGDD, bajo la rúbrica “Infracciones” determina lo siguiente: “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.

Respecto a la tipificación de infracciones del artículo 83.4.a) del RGPD se aprecia

– Falta de diligencia a la hora de implementar la protección de datos desde el diseño (artículo 25 RGPD en relación con el artículo 5.1.f) del RGPD), la ausencia, quebrantamiento falta de diligencia debida en la aplicación de medidas de seguridad adecuadas en función del riesgo (artículo 32 RGPD en relación con el artículo 5.1.f) del RGPD), son consideradas infracciones graves a efectos de prescripción (dos años) conforme señala el artículo 73.d), f), g) y t), de la LOPGDD y sancionables con apercibimiento según dispone el artículo 77.2 de la LOPDGDD.

– La falta de comunicación a los interesados de la brecha de seguridad (artículo 34 del RGPD en relación con el artículo 5.1.f) del RGPD) considerada infracción leve a efectos de prescripción (un año) conforme señala el artículo 74.ñ) de la LOPGDD y sancionable con apercibimiento según dispone el artículo 77.2 de la LOPDGDD.

En consecuencia, la vulneración de ambos principios (integridad y confidencialidad) constituyen el elemento de la culpabilidad que requiere la imposición de sanción.

El acceso indebido por terceros ajenos a datos personales del interesado y afectando de forma reiterada a los principios de integridad y de confidencialidad, de un modo recurrente, a la vista de las actuaciones acreditadas, agrava el reproche culpabilístico y sancionador de la conducta llevada a cabo por la SGICSPJ.

• Sanción

– Sanción de Apercibimiento por infracción del artículo 5.1.f) del RGPD tipificada en el artículo 83.5.a) del RGPD.

– Sanción de apercibimiento por infracción de los artículos 25 y 32 del RGPD en relación con el artículo 5.1.f) del RGPD, tipificada en el artículo 83.4.a) del RGPD.

– Sanción de apercibimiento por infracción del artículo 34 del RGPD en relación con el artículo 5.1.f) del RGPD, tipificada en el artículo 83.4.a) del RGPD.

5.– Ausencia de nombramiento del Delegado protección de dato.

En el presente caso, la resolución de la AEPD analizada examina la actuación de una entidad local en relación a dos presuntas infracciones, ausencia de nombramiento de Delegado de protección de datos y posible acceso a datos personales por parte de voluntarios municipales11.

• Hechos probados

.– El Ayuntamiento no ha nombrado Delegado de Protección de Datos (DPD).

.– Dos voluntarios que trabajan en los servicios sociales del ayuntamiento realizan las labores siguientes: una de ellas, colabora con la Concejalía en la distribución de alimentos a personas necesitadas previa tramitación de las correspondientes solicitudes por los servicios administrativos. La otra persona, colabora en la recogida y reparto material de los alimentos, también como colaborador de manera altruista.

Requerida información sobre la existencia de un documento conteniendo la política de confidencialidad a la que deban someterse los voluntarios con acceso a datos y sobre la existencia de DPD, se reciben en la Agencia diversos escritos remitidos por el ayuntamiento en tres lotes independientes, exponiendo entre otros aspectos:

– Aún están en proceso de adecuación al RGPD ya que habían sido excluidos de su adhesión al “Plan Provincial de Adecuación al Reglamento General de Protección de Datos” de la diputación al no estar adheridos a la Red Provincial de Comunicaciones y Servicios de Teleadministración. Añaden que se ha abierto, expediente de contratación menor de servicios denominado “Servicio de soporte de proceso de adecuación al Reglamento General de Protección de Datos y Ley Orgánica Protección Datos Personales y Garantía de Derechos Digitales (LOPDGDD). Servicio de soporte a la adecuación del Esquema nacional de Seguridad (ENS)”; expediente, que a fecha actual, no ha finalizado su tramitación.

– Que no les consta que exista ningún documento que deban firmar los voluntarios aceptando una política de confidencialidad para el plan de alimentos de ayuda a los más desfavorecidos para el reparto de comida.

Se acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción de los artículos 28 y 37 del RGPD, tipificadas en el Artículo 83.4 del RGPD, recordando la obligación contenida también en el artículo 34.1 y 3 LOPDGDD y para sanción artículo 73 de la LOPDGDD.

En cuanto a la parte de la reclamación referida a la actuación de dos voluntarios que colaboran con el consistorio para facilitar la ayuda a personas necesitadas del municipio, la AEPD señala que si bien esta situación se produce en muchas organizaciones, públicas y privadas, y no es necesario que esté regulada en un contrato de prestación de servicios, es recomendable que se informe a los voluntarios, en aquellos casos en los que vayan a acceder a datos personales, de las medidas de seguridad que han de tener en consideración y aplicar, así como de la obligación de mantener la confidencialidad sobre los datos personales que conozcan y utilicen.

• Sanción

.– Imponer la sanción de apercibimiento al Ayuntamiento por la infracción del artículo 37 del RGPD, tipificada en el artículo 83.4.a) del RGPD.

.– Igualmente se le requiere para proceder al nombramiento del Delegado de Protección de Datos, debiendo informar a la AEPD en el plazo de un mes a contar desde la notificación de la Resolución y comunicar la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

En este caso, en particular, debe recordarse la importancia de contar con el Delegado de Protección de Datos como pieza clave del modelo de protección de datos, además de constituir una obligación legal, ex RGPD y LOPDGDD, cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial, labor que puede desempeñar tanto una persona física o jurídica, empleado en plantilla o mediante contrato de servicio, que informa y asesora al Responsable, al Encargado y a otros empleados sobre las obligaciones del RGPD y supervisa su cumplimiento, cooperando y actuando como punto de contacto con las Autoridades de Control.