Ayuntamiento es sancionado por notificar con los datos de un tercero
El organismo público alegó que se debió a un error humano
Ayuntamiento de Alicante. (Foto: Diego Delso)
Ayuntamiento es sancionado por notificar con los datos de un tercero
El organismo público alegó que se debió a un error humano
Ayuntamiento de Alicante. (Foto: Diego Delso)
La Agencia Española de Protección de Datos ha sancionado al Ayuntamiento de Alicante por infringir la normativa de protección de datos al notificar una resolución a un ciudadano con los datos personales de un tercero desconocido.
El Consistorio se excusó argumentado que la errónea comunicación de los datos de un tercero se debía a una confusión humana no producida hasta la fecha y tras tramitar miles de notificaciones a diario.
Ponemos en contexto
En el marco de un procedimiento de devolución de tasas municipales peticionada por un particular (reclamante) al Ayuntamiento de Alicante (reclamado), este último notificó una resolución al primero con datos personales de un tercero.
Aunque finalmente el Tribunal Económico Administrativo municipal procedió a devolver las tasas reclamadas, el particular interpuso una reclamación ante la AEPD contra el citado Ayuntamiento por una posible violación de la legislación de protección de datos, producida tras la notificación de una resolución que contenía los datos de otro ciudadano.
Tras dar traslado de dicha reclamación al Ayuntamiento para que procediese a su análisis e informase a la AEPD las acciones llevadas a cabo para adecuarse a la normativa de protección de datos, el Consistorio no contestó. Eso sí, después de que se admitiese a trámite la reclamación presentada, que la Subdirección General de la Inspección de Datos procediese a realizar distintas actuaciones previas para esclarecer los hechos y que la Directora de la AEPD acordase iniciar el correspondiente procedimiento sancionador, el Ayuntamiento presentó un escrito de alegaciones en el que, en síntesis, reconocía que se había notificado una resolución a un particular con los datos personales de un tercero, debido a una confusión humana causada por el gran número de resoluciones que el organismo público notifica diariamente.
Asimismo, el Ayuntamiento informaba que los datos del reclamante no fueron comunicados a ningún ciudadano y que la errónea comunicación de los datos se debió a un error de carácter excepcional, no producida hasta tal fecha y tras el trámite de miles de notificaciones.
El Ayuntamiento cometió dos infracciones del RGPD
Por su parte, la AEPD formuló propuesta de resolución en la que la Directora de la AEPD consideraba al Consistorio como responsable de una infracción del art. 5.1. f) del RGPD (sobre los principios relativos al tratamiento de datos personales), conforme a lo dispuesto en el art. 83.5 del RGPD, calificada como muy grave a efectos de prescripción en el art. 72.1 i) de la LOPDGDD y por infracción del art. 32 del RGPD (sobre la seguridad del tratamiento de datos personales), conforme a lo dispuesto en el art. 83.4 del citado RGPD, calificada como grave a efectos de prescripción den el art. 73 apartado f) de la LOPDGDD
Así, la Agencia constataba que las medidas de seguridad implantadas por el Ayuntamiento en relación con los datos que sometía a tratamiento en calidad de responsable, “no eran las adecuadas al posibilitar la exhibición a terceros de datos de carácter personal con la consiguiente falta de diligencia”.
En consecuencia, las alegaciones del organismo público son desestimadas, “significándose que las argumentaciones presentadas no desvirtúan el contenido esencial de la infracción que se declara cometida ni suponen causa de justificación o exculpación suficiente”, advierte la AEPD.
En particular, respecto a la primera infracción, en opinión de la Agencia, de la documentación obrante en el expediente se pone de manifiesto que el reclamando vulneró el art. 5.1.f) del RGPD, principios relativos al tratamiento, en relación con el art. 5 de la LOPGDD, deber de confidencialidad, “al remitir una resolución al reclamante, revelando información y datos de carácter personal de un tercero”.
En la misma línea, respecto a segunda infracción, los hechos arriba descritos ponen en evidencia “el quebrantamiento de las medidas técnicas y organizativas al posibilitar la exhibición a terceros de documentación donde constan datos de carácter personal con la consiguiente falta de diligencia por el responsable”. Del mismo modo, sobre la dispensa de que se trató de un excepcional error humano, la AEPD recuerda que las medidas de seguridad deben adoptarse “en atención a todos y cada uno de los riesgos presentes en un tratamiento de datos de carácter personal, incluyendo entre los mismos el factor humano”.
Sanción de apercibimiento
Como es sabido, tal y como se desprende del art. 77 de la LOPDGDD, la normativa española prohíbe sancionar con multa a las entidades públicas.
Así las cosas, tras manifestar que la falta de diligencia del Ayuntamiento a la hora de implementar las medidas apropiadas de seguridad constituye el elemento de la culpabilidad necesario para considerar responsable a tal organismo público, la AEPD resuelve y dirige al Ayuntamiento de Alicante un apercibimiento, por las aludidas infracciones de los arts. 5.1.f) y 32 del RGPD.