Protección de datos: al ayuntamiento de San Javier le puede caer una multa de hasta 20 M€
El ayuntamiento trató de descargar su mala praxis culpando a un empleado público
El ayuntamiento de San Javier ha sido apercibido por la Agencia Española de Protección de Datos a raíz de un procedimiento sancionador por publicar datos personales de trabajadores en su web. Los hechos que han motivado el inicio del procedimiento datan de octubre de 2020 cuando el ayuntamiento de San Javier publicó en la página web del consistorio el Acta de la Junta de Gobierno celebrada en esa fecha, en la que se identificaba a 126 trabajadores que iban a percibir el complemento de productividad mediante su nombre y apellidos, cargo que desempeñaba y horas extras.
Tras el inicio de la reclamación ante la Agencia Española de Protección de Datos, se dio traslado de la misma al ayuntamiento de San Javier, para que, en el plazo de un mes, analizara e informara a la Agencia de “las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos”, sin embargo, no consta que el Ayuntamiento atendiera tal petición en ese momento. Es importante señalar que el ayuntamiento de San Javier ya era reincidente en este extremo: publicar datos personales en las actas de las Juntas de Gobierno Local.
La Subdirección General de Inspección de Datos de la AEPD en virtud de los poderes que ostenta, ya que entre sus principales funciones se encuentra la de verificar el cumplimiento de la normativa, investigar las brechas de seguridad, entre otras -señala Unive Abogados, firma jurídica nacional de origen murciano, especializada en protección de datos-, realizó las averiguaciones oportunas, y tuvo constancia de que meses después de que se publicara en la web el acta de la junta, y de que tuviera entrada en la Agencia la reclamación, el Ayuntamiento comunicó a la AEPD la brecha de seguridad -sin que haya ningún tipo de circunstancia que avale la demora-, en cuya comunicación alegó que las funciones de DPD las realiza una tercera entidad y que lo ocurrido había sido un error humano de carácter aislado.
El Ayuntamiento intentó justificar su mal hacer trasladando, en vano, su responsabilidad al empleado público que interpuso la reclamación ante la AEPD, culpándolo de haber interpuesto la reclamación ante la Agencia en vez de haber informado al responsable del tratamiento de la brecha de seguridad, tal y como, a juicio del consistorio, era su deber. En cambio, para la Agencia Española de Protección de Datos, “el reclamante no actuó en su condición de empleado público vinculado por una relación estatutaria al Ayuntamiento y, por ende, obligado a comunicarle la incidencia en el marco de sus deberes estatutarios, sino que actuó como interesado, como afectado por la brecha de seguridad, contando con toda la legitimidad para reclamar a la AEPD directamente, tal y como le permite el ordenamiento jurídico”.
Para la AEPD “se ha demostrado a lo largo de la instrucción del procedimiento, que los datos de 126 empleados públicos han quedado indebidamente expuestos, debido a la publicación del Acta de la Junta de Gobierno de fecha 21/10/2020 en el BOP, datos que no deberían ser accesibles a terceros”.
Fundamentalmente, no se llevó a cabo la anonimización del Acta de la Junta, lo que deja entrever que el Ayuntamiento no contaba con las medidas organizativas y técnicas apropiadas, pues si se hubieren adoptado previamente dichas medidas en cumplimiento de la normativa de Protección de datos, de obligatorio cumplimiento para las AAPP, se habría contemplado el error humano como un posible riesgo y se habrían adoptado medidas adecuadas para minimizarlo y evitarlo.
En definitiva, se atribuye al ayuntamiento de San Javier la comisión de ciertas infracciones por vulnerar los art. 5.1.f), art. 32 y art. 33 del RGPD, lo que podría suponer la imposición de multas administrativa previstas en el art. 83.5 RGPD “de 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, valorados los criterios de graduación de las sanciones, la Agencia Español a de Protección de Datos ha optado por apercibir al consistorio, si bien el coste económico es prácticamente inexistente, las AAPP deben actuar de manera ejemplar para con el ciudadano, evitando por todos los medios el ruido mediático que supone este tipo de incumplimientos, “fácilmente evitables con un adecuado asesoramiento, formación, información y concienciación de todo el personal del Ayuntamiento” afirma Unive Abogados.
Enlace a la resolución de la AEPD: Click aquí