compendio de información en materia de protección de ... - GESDATOS

22 oct. 2011 - Moraleja de En medio no deben ser publicados en ningún medio que permita el conocimiento de estos datos personales a personas distintas ...
13MB Größe 142 Downloads 93 vistas
COMPENDIO DE INFORMACIÓN EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL PARA ENTIDADES LOCALES.

Versión

Fecha

Autor



22/10/2011

GESDATOS

ÍNDICE INTRODUCCIÓN ................................................................................................................................. 6 I. CORPORACIÓN LOCAL ............................................................................................................... 10 INFORMES JURÍDICOS ........................................................................................................................................................11 • • • • • • • • • • • • •

ACCESO DE CONCEJALES A DATOS DEL REGISTRO ENTRADA Y SALIDA DEL AYUNTAMIENTO ...........................................................................................................................................................................13 PUBLICACIÓN EN WEB DE SESIONES PLENARIAS DEL AYUNTAMIENTO Y ACCESO POR LOS CONCEJALES AL REGISTRO DE ENTRADAS Y SALIDAS MUNICIPALES............................................16 CESIÓN DE DATOS DE FICHEROS MUNICIPALES A CONCEJALES.....................................................21 PUBLICACIÓN EN PÁGINA WEB DE UN AYUNTAMIENTO DE ACTAS, FOTOS Y VIDEOS DEL PLENO. .............................................................................................................................................................28 ACCESO A LOS DATOS DEL PADRÓN POR CONCEJALES DE LAS CORPORACIONES LOCALES 35 ENVÍO DE LAS ACTAS DE LAS CORPORACIONES LOCALES A LOS CONCEJALES Y NO A TERCERAS PERSONAS. ...............................................................................................................................37 REGISTROS DE INTERESES DE LAS ENTIDADES LOCALES. ...............................................................39 CREACIÓN DE REGISTROS DE INTERESES DE CARÁCTER PÚBLICO EN LAS CORPORACIONES LOCALES..........................................................................................................................................................44 COMUNICACIÓN DEL IBI A LOS CONCEJALES DEL AYUNTAMIENTO A LOS EFECTOS DE EFECTUAR OPOSICIÓN. ...............................................................................................................................47 FICHEROS DE LOS GRUPOS MUNICIPALES. TITULARIDAD PRIVADA. CARÁCTER DE RESPONSABLE DEL PROPIO GRUPO........................................................................................................52 NATURALEZA PÚBLICA O PRIVADA DE LOS FICHEROS DE UNA SOCIEDAD MUNICIPAL. ............58 CESIÓN DE DATOS DE UN AYUNTAMIENTO A UNA DE SUS JUNTAS ADMINISTRATIVAS .............76 PUBLICACIÓN EN LA WEB MUNICIPAL DE LAS ACTAS DE LAS SESIONES DEL PLENO Y DE LAS COMISIONES DEL PLENO EN INTERNET ..................................................................................................86

II) POLICIA LOCAL......................................................................................................................... 107 A) INFORMES JURÍDICOS .................................................................................................................................................108 • • • •

ACCESO POR LA POLICIA A DATOS DE MATRÍCULAS EN PARKING. ...............................................109 POLICIA LOCAL. DEBERES DE INFORMACIÓN Y NOTIFICACIÓN. .....................................................111 CESIÓN MUNICIPAL DE DATOS DE DOMICILIO A LA D. G. TRÁFICO.................................................116 ACCESO POR PARTE DE LA POLICÍA LOCAL A LOS DATOS DE CARÁCTER PERSONAL DE LOS MENORES INCORPORADOS A LOS FICHEROS DE LOS CENTROS ESCOLARES DEL MUNICIPIO .........................................................................................................................................................................122

B) PROCEDIMIENTOS SANCIONADORES......................................................................................................................129 • • • •

GESTIÓN INCORRECTA DE LA CALIDAD DE LOS DATOS EN FICHERO MUNICIPAL “MULTAS”. .130 BOLETIN DE DENUNCIAS DE LA POLICIA LOCAL Y RECIBOS DE ARRASTRE DE LA GRUA MUNICIPAL INCUMPLE EL DEBER DE INFORMACIÓN..........................................................................143 AUSENCIA DE INSCRIPCIÓN DE FICHERO PÚBLICO DE VIDEOVIGILANCIA POLICÍA MUNICIPAL. .........................................................................................................................................................................152 CÁMARAS DE VIDEOVIGILANCIA EN VÍA PÚBLICA ...............................................................................164

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 2 de 609



LA UTILIZACIÓN DE SISTEMAS DE COMUNICACIÓN RADIOFÓNICA POR LA POLICIA LOCAL NO VULNERA LA LOPD ......................................................................................................................................172

III) EMPLEADOS PÚBLICOS.......................................................................................................... 179 A) INFORMES jURÍDICOS ..................................................................................................................................................180 • • • • •

• •



COMUNICACIÓN DEL COMPLEMENTO DE PRODUCTIVIDAD DE FUNCIONARIOS, LEY HABILITANTE.................................................................................................................................................181 PUBLICACIÓN EN INTERNET DE LOS DATOS DE LOS MIEMBROS DE MESAS ELECTORALES. .185 ACCESO A LISTADOS DE PERSONAL DE LA POLICÍA MUNICIPAL POR SECCIÓN SINDICAL......189 CESIÓN A ADMINISTRACIÓN LOCAL DE DATOS DE UN FUNCIONARIO PARA LA TRAMITACIÓN DE UN PROCEDIMIENTO DISCIPLINARIO – LICITUD. ...........................................................................193 CUESTIONES RELATIVAS AL ACCESO Y POSIBILIDAD DE COMUNICACIÓN DE DIFERENTES DATOS REFERIDOS A LA PLANTILLA DE FUNCIONARIOS POR LA CORPORACIÓN MUNICIPAL. .........................................................................................................................................................................198 PUBLICACIÓN DE RELACIONES DE PUESTOS DE TRABAJO DE UN AYUNTAMIENTO EN EL BOLETÍN DE LA COMUNIDAD DE MADRID ..............................................................................................203 PUBLICACIÓN EN FORMATO PDF A TRAVÉS DE LA INTRANET DE UN AYUNTAMIENTO DE UN LISTADO DEL CENSO ELECTORAL ELABORADO CON MOTIVO DE LAS ELECCIONES SINDICALES .........................................................................................................................................................................208 CESIÓN DE DATOS POR PARTE DE UN AYUNTAMIENTO A REPRESENTANTES SINDICALES ...216

B) PROCEDIMIENTOS SANCIONADORES......................................................................................................................238 •



• •

PUBLICACIÓN EN WEB DE LOS NOMBRES Y APELLIDOS DE LOS TRABAJADORES DEL AYUNTAMIENTO, JUNTO A LOS SALARIOS MENSUALES Y ANUALES, SIN EL CONSENTIMIENTO DE LOS AFECTADOS. ..................................................................................................................................239 PUBLICACIÓN EN UN BOLETIN INFORMATIVO MUNICIPAL DE DATOS DEL PERSONAL DEL AYUNTAMIENTO-NOMBRES Y APELLIDOS, PUESTO DE TRABAJO, RETRIBUCIÓN, NÓMINA Y RÉGIMEN JURÍDICO DE LA RELACIÓN LABORAL..................................................................................260 COMUNICACIÓN INDEBIDA DE DATOS DEL PERSONAL DEL AYUNTAMIENTO A SINDICATO.....275 PUBLICACIÓN DE DATOS DE UN TRABAJADOR DESPEDIDO ............................................................294

IV) CIUDADANOS ........................................................................................................................... 305 A) INFORMES JURÍDICOS .................................................................................................................................................306 • • • •

ACCEDER A DOCUMENTOS DE AYUNTAMIENTO POR CIUDADANOS..............................................307 CESIÓN DE DATOS DE ASEGURADOS A AYUNTAMIENTOS...............................................................310 ACCESO DE LOS CIUDADANOS A LAS ACTAS DEL PLENO, COMISIÓN DE GOBIERNO Y JUNTA DE GOBIERNO LOCAL MUNICIPALES ......................................................................................................312 EXPOSICIÓN DE LISTADOS DE PERSONAS QUE PARTICIPAN EN SORTEOS Y LISTADOS DE ADJUDICACIONES DE VIVIENDAS VPO Y VTM EN OFICINA DE SERVICIO A LA CIUDADANÍA Y PÁGINA WEB .................................................................................................................................................318

B) PROCEDIMIENTOS SANCIONADORES......................................................................................................................324 • AUSENCIA DE DEBER DE INFORMACIÓN EN HOJA FORMULARIO REMITIDO A CONTRIBUYENTES AYUNTAMIENTO. ......................................................................................................325 • IMPROCEDENTE PUBLICACIÓN EN LA WEB DE UN AYUNTAMIENTO DE LOS DATOS PERSONALES DE VECINOS QUE HABÍAN PRESENTADO ALEGACIONES EN EL TRÁMITE DE INFORMACIÓN PÚBLICA. ............................................................................................................................333 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 3 de 609



VULNERACIÓN DEL DEBER DE SECRETO MEDIANTE PUBLICACIÓN DE COPIA DE UN ESCRITO EN EL TABLÓN DE ANUNCIOS DE UN AYUNTAMIENTO.......................................................................358

V) URBANISMO .............................................................................................................................. 363 A) INFORMES JURÍDICOS .................................................................................................................................................364 •

CESIÓN DE DATOS CATRASTALES POR RAZONES URBANÍSTICAS. ...............................................365

B) PROCEMIENTOS SANCIONADORES..........................................................................................................................371 • RECOGIDA Y TRATAMIENTO DE DATOS PARA SERVICIOS “ECOPARQUE” MUNICIPAL. .............372

VI) PADRÓN DE HABITANTES...................................................................................................... 384 A) INFORMES JURÍDICOS .................................................................................................................................................385 • • • • •

• • •

CENSO DE POBLACIÓN DE LAS ADMINISTRACIONES PÚBLICAS Y CESIONES DE DATOS DEL PADRÓN - AÑO 2001 ....................................................................................................................................386 ACCESO A LOS DATOS DEL PADRÓN DE LOS AÑOS 1910 Y 1911 A EFECTOS DE INVESTIGACIÓN............................................................................................................................................389 IMPROCEDENCIA CESIÓN DE DATOS PADRÓN A CONSULADO EXTRANJERO.............................393 ACCESO AL PADRÓN POR LAS FUERZAS Y CUERPOS DE SEGURIDAD.........................................395 POSIBILIDAD DE USAR LOS DATOS PADRONALES DE UN AYUNTAMIENTO PARA REMITIR ESCRITO A LOS PROPIETARIOS DE VIVIENDAS VACIAS DEL MUNICIPIO Y SU POSTERIOR CESIÓN AL GOBIERNO VASCO .................................................................................................................404 CESIÓN DE DATOS DEL PADRÓN A OTRAS ÁREAS DEL PROPIO AYUNTAMIENTO .....................415 CESIÓN DE DATOS DEL PADRÓN ENTRE DIFERENTES ADMINISTRACIONES. .............................423 CESIÓN DE DATOS PADRONALES A UN DEPARTAMENTO DEL GOBIERNO VASCO PARA SU POSTERIOR CESIÓN A UNA ENTIDAD PRIVADA ...................................................................................427

B) PROCEDIMIENTOS SANCIONADORES......................................................................................................................434 • •





DATOS PADRÓN PARA ENVÍOS FELICITACIÓN CUMPLEAÑOS. ........................................................435 INCLUSIÓN DE OFICIO EN EL PADRÓN MUNICIPAL DE HABITANTES POR PARTE DEL AYUNTAMIENTO DE DATOS DE RECLUSOS DE CENTRO PENITENCIARIO Y DE RESIDENTES EN EL CENTRO GERIÁTRICO DE LA LOCALIDAD. .......................................................................................452 DENUNCIA DE PARTICULAR POR EMISIÓN DE CERTIFICADO DE EMPADRONAMIENTO POR PARTE DEL AYUNTAMIENTO A NOMBRE DE SU REPRESENTADO Y SIN SU CONSENTIEMIENTO. .........................................................................................................................................................................464 UTILIZACIÓN DE LOS DATOS DEL PADRÓN PARA FINALIDADES INCOMPATIBLES......................476

VII) TRIBUTARIO ............................................................................................................................ 484 INFORMES JURÍDICOS ......................................................................................................................................................485 • • •

CESIÓN DE DATOS TRIBUTARIOS DE DIPUTACIÓN A AYUNTAMIENTO, LEY HABILITANTE .......486 COMUNICACIÓN DE DATOS LABORALES Y DE COTIZACIÓN POR CONCESIONARIO DE SUBVENCIONES PÚBLICAS AL ORGANISMO CONVOCANTE .............................................................492 SOLICITUD POR PARTE DE LOS ÓRGANOS DIRECTIVOS DE UN AYUNTAMIENTO DE LOS DATOS TRIBUTARIOS DE LOS VECINOS DEL MUNICIPIO. ................................................................................495

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 4 de 609

VIII) PROVEEDORES DE SERVICIOS CON ACCESO A DATOS ................................................. 498 INFORMES JURÍDICOS ......................................................................................................................................................499 • •

CARÁCTER DE RESPONSABLE O ENCARGADO DE ENTIDADES GESTORAS DE SERVICIOS MUNICIPALES................................................................................................................................................500 CONCESIÓN INDIRECTA DE SERVICIOS PÚBLICOS Y ENCARGADO DEL TRATAMIENTO...........504

IX) VARIOS ..................................................................................................................................... 509 INFORMES JURÍDICOS ......................................................................................................................................................499 • •

TRATAMIENTO PARA UN ORGANISMO PÚBLICO ESPAÑOL DE DATOS DE CIUDADANOS PORTUGUESES. APLICACIÓN DE LA LOPD............................................................................................511 CESIÓN DE DATOS DE CARÁCTER PERSONAL DE DISTINTOS DEPARTAMENTOS DE UN AYUNTAMIENTO A SUS PROPIOS CORPORATIVOS.............................................................................513

B) PROCEDIMIENTOS SANCIONADORES......................................................................................................................525 •

• •



ACCESO Y GESTIÓN DE DATOS PERSONALES DEL REGISTRO DE ENTRADA Y SALIDA DE AYUNTAMIENTO. ..........................................................................................................................................526 AYUNTAMIENTO APORTA, SIN EL CONSENTIMIENTO DE LOS AFECTADOS, COPIA DE UNA SENTENCIA EN LA QUE INTERVENÍA EL AYUNTAMIENTO COMO ACUSACIÓN PARTICULAR....540 HALLAZGO DE EXPEDIENTES Y AGENDAS DE AYUNTAMIENTO ABANDONADOS EN LA VÍA PÚBLICA. ........................................................................................................................................................553 RECURSO DE INSCONSTITUCIONALIDAD RESPECTO DE LOS ARTS. 21.1 Y 24.1 Y .2 LOPD .....569

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 5 de 609

INTRODUCCIÓN El derecho fundamental a la protección de datos de carácter personal ha estado regulado, por primera vez nuestro ordenamiento jurídico, a través de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). Esta norma vigente hasta el 14 de enero de 2000, previó la creación de la Agencia Española de Protección de Datos (en adelante, AEPD), quedando conformada mediante el Real Decreto 428/19931, de 26 de marzo. De este modo, la AEPD se ha constituido como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones, relacionándose con el Gobierno a través del Ministerio de Justicia. Una de sus principales funciones, con carácter general, es velar por el cumplimiento de la legislación sobre protección de datos, esto es, las vigente Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (en adelante, LOPD) y sus normas de desarrollo y controlar su aplicación a fin de garantizar el derecho fundamental a la protección de datos personales. Entre otras labores, se encuentra la elaboración de informes jurídicos respecto a las consultas planteadas por los responsables de ficheros (entidades públicas y privadas) en cuanto a la interpretación y aplicación de la LOPD, sus normas de desarrollo, así como otras normas que se interrelacionaran con la materia de protección de datos de carácter personal. No obstante, debe significarse que dichos informes no tienen carácter vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de sus funciones, entre las que la Ley no prevé la evacuación de consultas vinculantes. Además de la AEPD, se han creado autoridades de control autonómicas, en este 1

Real Decreto 428/19931, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 6 de 609

caso, sólo las Agencias de Protección de Datos de la Comunidad de Madrid, Cataluña y País Vasco. Éstas únicamente tienen competencia respecto a los ficheros o tratamientos de datos personales de las entidades públicas de su circunscripción geográfica. Aunque con menor profusión, estos organismos autonómicos también emiten informes jurídicos. Más cabe decir, que en los informes jurídicos de las agencias autonómicas se interpreta y aplica la normativa de protección de datos, en consonancia con legislación autonómica, que no resulta de aplicación. Si embargo, todos estos informes han permitido arrojar luz a cuestiones complejas en el ámbito de la Administración Pública, en cuanto a la interpretación y aplicación de esta normativa. Bien de oficio o en contestación a consultas formuladas por entidades públicas, la AEPD y las autoridades de control autonómicas han trazado la interpretación y aplicación de la LOPD, sobre todo, en conjugación con la amalgama de normas de índole administrativo público. EL CONSULTOR en el estudio y análisis periódico de la legislación, presta máxima atención a los dictámenes emitidos por la autoridad de control estatal y las autonómicas. Conocedores de los pronunciamientos de la AEPD y agencias autonómicas, EL CONSULTOR ha realizado una labor de selección, de aquellos que pueden resultar de interés para el personal de la Administración Pública (Entidades Locales). A estos efectos, EL CONSULTOR ha elaborado el presente compendio de informes jurídicos de la AEPD y las citadas autoridades de control autonómicas, el cual obedece a un criterio de ordenación y estructura por materias o áreas de una entidad local. No habiendo informes relativos a todos los aspectos de una Entidad Local, se ha tratado de agrupar los más significativos por razón de la materia que versan y/o corresponden a una unidad o área concreta. Este compendio se completa con resoluciones dictadas por la AEPD en relación a procedimientos sancionadores abiertos a entidades locales, ante un incumplimiento o supuesto incumplimiento de la normativa. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 7 de 609

Y, asimismo, recoge una relación de pronunciamientos de nuestros tribunales (Audiencia

Nacional,

Tribunal

Supremo

y

Tribunal

Constitucional)

en

interpretación o aplicación de la legislación vigente en protección de datos. El compendio no recoge todos los informes jurídicos y procedimientos sancionadores de la AEPD y agencias autonómicas de protección de datos, sólo aquéllos que a criterio de EL CONSULTOR resultan de interés o relevancia para la administración pública local. La AEPD y las agencias autonómicas publican informes jurídicos con cierta periodicidad. Es por esto que, a la entrega o puesta a disposición del compendio, se incluirán los últimos informes y procedimientos sancionadores de la AEPD, así como pronunciamientos de los tribunales, que se hubieren publicado o emitido hasta la fecha. EL CONSULTOR realiza una labor de actualización, conforme a las emisiones o publicaciones de los citados organismos, de manera que puede haber varias ediciones o versiones del compendio. EL CONSULTOR sólo permite al personal integrante de la entidad local prestataria de los servicios de protección de datos, la reproducción, la transformación, distribución o comunicación pública [por cualquier medio, ya sea electrónico, mecánico, fotocopia, por registro u otros métodos, ni su préstamo, alquiler o cualquier otra forma de cesión o transmisión, con carácter oneroso o gratuito] y, en general, cualquier otra forma de uso, parcial o total, del presente compendio. Estos actos de disposición no podrán ser realizados por tercero ajeno a la entidad local, ya sea con carácter oneroso o gratuito, salvo autorización expresa y por escrito de EL CONSULTOR. En definitiva, el único propósito de EL CONSULTOR es aportar, de este modo, un instrumento de ayuda y apoyo en nuestra labor de consultoría, para esclarecer cuestiones emergentes entorno a la aplicación de la normativa de protección de datos en el ámbito de una entidad local.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 8 de 609

EL CONSULTOR

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 9 de 609

I. CORPORACIÓN LOCAL

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 10 de 609

INFORMES JURÍDICOS ACCESO DE CONCEJALES A DATOS DEL REGISTRO ENTRADA Y SALIDA DEL AYUNTAMIENTO .............................................................................................................................. 13 PUBLICACIÓN EN WEB DE SESIONES PLENARIAS DEL AYUNTAMIENTO Y ACCESO POR LOS CONCEJALES AL REGISTRO DE ENTRADAS Y SALIDAS MUNICIPALES. ....................... 16 CESIÓN DE DATOS DE FICHEROS MUNICIPALES A CONCEJALES.......................................... 21 PUBLICACIÓN EN PÁGINA WEB DE UN AYUNTAMIENTO DE ACTAS, FOTOS Y VIDEOS DEL PLENO. ............................................................................................................................................. 28 ACCESO A LOS DATOS DEL PADRÓN POR CONCEJALES DE LAS CORPORACIONES LOCALES.......................................................................................................................................... 35 ENVÍO DE LAS ACTAS DE LAS CORPORACIONES LOCALES A LOS CONCEJALES Y NO A TERCERAS PERSONAS. ................................................................................................................. 37 REGISTROS DE INTERESES DE LAS ENTIDADES LOCALES..................................................... 39 CREACIÓN DE REGISTROS DE INTERESES DE CARÁCTER PÚBLICO EN LAS CORPORACIONES LOCALES......................................................................................................... 44 COMUNICACIÓN DEL IBI A LOS CONCEJALES DEL AYUNTAMIENTO A LOS EFECTOS DE EFECTUAR OPOSICIÓN. ................................................................................................................. 47 FICHEROS DE LOS GRUPOS MUNICIPALES. TITULARIDAD PRIVADA. CARÁCTER DE RESPONSABLE DEL PROPIO GRUPO........................................................................................... 52 NATURALEZA PÚBLICA O PRIVADA DE LOS FICHEROS DE UNA SOCIEDAD MUNICIPAL. INFORME 0191/2005 ........................................................................................................................ 58 CESIÓN DE DATOS DE UN AYUNTAMIENTO A UNA DE SUS JUNTAS ADMINISTRATIVAS .... 76 PUBLICACIÓN EN LA WEB MUNICIPAL DE LAS ACTAS DE LAS SESIONES DEL PLENO Y DE LAS COMISIONES DEL PLENO EN INTERNET.............................................................................. 86 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 11 de 609

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 12 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

ACCESO DE CONCEJALES A DATOS DEL REGISTRO ENTRADA Y SALIDA DEL AYUNTAMIENTO La consulta plantea si resulta conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, el acceso diario por parte del Grupo Municipal a la información contenida en el registro de entrada y salida de documentos municipales. I Contestando a la cuestión, la transmisión de dichos datos supondrá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta disposición se ve complementada en el supuesto que ahora nos ocupa por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica, del cual se desprende que será posible la cesión cuando una Ley lo permita. La solicitud se fundamenta, según se indica en la consulta, en la necesidad de que los Concejales solicitantes estén debidamente informados, a fin de llevar a cabo su función de control sobre la actividad del equipo de Gobierno del Ayuntamiento, en los términos previstos en el artículo 77 de la Ley 7/1985, de 2 de abril de 1985, de Bases de Régimen Local. A fin de dar una correcta solución a la cuestión, será preciso tomar en consideración las funciones que la vigente normativa atribuye a los miembros de las corporaciones locales. Según dispone el citado artículo 77, “todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 13 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función”. Ello comporta que podrán tener conocimiento de los datos personales (nombre, apellidos y domicilio) de los interesados que figuren en los asientos del registro de la Corporación. Este derecho se encuentra desarrollado por los artículos 14 a 16 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las corporaciones Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, que especifica el modo en que deberá producirse la solicitud, así como las particularidades para el ejercicio de la consulta, dando respuesta a la segunda de las cuestiones planteadas por la consultante. Teniendo en cuenta lo anteriormente señalado, dado que las leyes atribuyen a los concejales la posibilidad de consultar la documentación obrante en el Ayuntamiento en el ejercicio de su actividad de control de los órganos de la Corporación y con esta finalidad, y sin perjuicio de las especialidades que pudieran derivarse del régimen específico de determinados tratamientos (como los ficheros tributarios, sometidos a las limitaciones previstas en la Ley General Tributaria), pero que no son aplicables a este caso, la cesión de los datos en que consistiría la consulta se encuentra amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999. II En todo caso, debe recordarse que, los cesionarios sólo podrán utilizar los datos en el ámbito de sus competencias, toda vez que éste es el límite establecido en la Ley de Bases de Régimen Local, indicando a su vez el artículo 4.2 de la Ley Orgánica 15/1999 que los datos “no podrán utilizarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. Por ello, la utilización de los datos se limitará al ejercicio de la función de control prevista en la Ley, sin que sea posible que los concejales den ningún tipo de publicidad a los datos ni los cedan a ningún tercero, resultando por tanto suficiente para el acceso, la invocación de la finalidad de control aludida en el artículo 77 citado. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 14 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 15 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

PUBLICACIÓN EN WEB DE SESIONES PLENARIAS DEL AYUNTAMIENTO Y ACCESO POR LOS CONCEJALES AL REGISTRO DE ENTRADAS Y SALIDAS MUNICIPALES. La consulta plantea diversas dudas relativas a la adecuación a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, de la publicación en la página Web del Ayuntamiento de las actas de las sesiones plenarias y de la atención a distintas solicitudes de cesión de datos formuladas por los concejales del Ayuntamiento. I La primera cuestión que se plantea es si pueden incluirse en la página Web del Ayuntamiento las actas de las sesiones plenarias, a esta cuestión se ha referido la Agencia en diversos informes, por todos ellos cabe mencionar el informe de 20 de diciembre de 2004 que a continuación se reproduce: “Como cuestión previa, debe recordarse que el artículo 2.1 de la Ley Orgánica 15/1999 delimita en su párrafo primero su ámbito objetivo de aplicación, al disponer que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, según el artículo 3 a) de la Ley, “Cualquier información concerniente a personas físicas identificadas o identificables”. De este modo, es preciso aclarar que, sin perjuicio de lo dispuesto en otras leyes, el presente informe se limitará a analizar la conformidad con lo dispuesto en la Ley Orgánica 15/1999 de la publicación de los datos de carácter personal que resulten de las mencionadas actas. Dicho lo anterior, la publicación en Internet de los datos contenidos en las actas de los Plenos y Juntas de Gobierno del Ayuntamiento constituye una cesión o comunicación de datos de carácter personal, definida por el artículo 3 j) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. En relación con las cesiones de datos, prescribe el artículo 11.1 de la Ley expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 16 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Orgánica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, No obstante, no será necesario el consentimiento de los afectados cuando la comunicación se encuentre amparada por una norma con rango de Ley (artículo 11.2 a) o cuando se refiera a datos incorporados en fuentes accesibles al público (artículo 11.2 b). A tal efecto, son fuentes accesibles al público, según el segundo inciso del artículo 3 j) “exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. Pues bien, respecto de la publicidad de las actividades municipales, el artículo 70 de la Ley reguladora de las Bases del Régimen Local, en la redacción dada al mismo por la Ley 57/2003, de 16 de diciembre, dispone lo siguiente: “1. Las sesiones del Pleno de las corporaciones locales son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. No son públicas las sesiones de la Junta de Gobierno Local. 2. Los acuerdos que adopten las corporaciones locales se publican o notifican en la forma prevista por la Ley. Las ordenanzas, incluidos el articulado de las normas de los planes urbanísticos, así como los acuerdos correspondientes a éstos cuya aprobación definitiva sea competencia de los entes locales, se publicarán en el "Boletín Oficial" de la provincia y no entrarán en vigor hasta que se haya publicado completamente su texto y haya transcurrido el plazo previsto en el artículo 65.2 salvo los presupuestos y las ordenanzas fiscales que se publican y entran en vigor en los términos establecidos en la Ley 39/1988, de 28 de diciembre, Reguladora de las Haciendas Locales. Las Administraciones públicas expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 17 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

con competencias urbanísticas deberán tener, a disposición de los ciudadanos que lo soliciten, copias completas del planeamiento vigente en su ámbito territorial. 3. Todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de las corporaciones locales y sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105, párrafo b), de la Constitución. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada.” Del tenor del precepto transcrito se desprende que la Ley determina la publicidad del contenido de las sesiones del Pleno, pero en ningún caso de la Junta de Gobierno, añadiendo el régimen de publicación en los Boletines Oficiales de los acuerdos adoptados. De este modo, únicamente sería conforme con lo dispuesto en la Ley Orgánica 15/1999 la comunicación de datos, mediante su inclusión en Internet, cuando dichos datos se refieran a actos debatidos en el Pleno de la Corporación o a disposiciones objeto de publicación en el correspondiente Boletín Oficial, dado que únicamente en estos supuestos la cesión se encontraría amparada, respectivamente, en una norma con rango de Ley o en el hecho de que los datos se encuentran incorporados a fuentes accesibles al público. En los restantes supuestos, y sin perjuicio de lo dispuesto en otras Leyes, la publicación únicamente sería posible si se contase con el consentimiento del interesado o si los datos no pudieran en ningún caso, vincularse con el propio interesado, cuestión ésta que, como se indicó, puede resultar sumamente compleja, dadas las características del Municipio en cuestión, por cuanto un número reducido de datos, incluso sin incluir los meramente identificativos del afectado, podría identificar a aquél.” II

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 18 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Se consulta en segundo lugar si resulta conforme a lo dispuesto en la Ley Orgánica 15/1999, el acceso por parte de un concejal a la información contenida en el libro de entradas y salidas de documentos municipales, para ver que asuntos han tenido entrada o salida en el Ayuntamiento. Igualmente esta cuestión ha sido objeto de análisis en informe de esta Agencia de 16 de julio de 2008 en el que se señalaba lo siguiente: “Contestando a la cuestión, la transmisión de dichos datos supondrá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta disposición se ve complementada en el supuesto que ahora nos ocupa por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica, del cual se desprende que será posible la cesión cuando una Ley lo permita. La solicitud se fundamenta, según se indica en la consulta, en la necesidad de que los Concejales solicitantes estén debidamente informados, a fin de llevar a cabo su función de control sobre la actividad del equipo de Gobierno del Ayuntamiento, en los términos previstos en el artículo 77 de la Ley 7/1985, de 2 de abril de 1985, de Bases de Régimen Local. A fin de dar una correcta solución a la cuestión, será preciso tomar en consideración las funciones que la vigente normativa atribuye a los miembros de las corporaciones locales. Según dispone el citado artículo 77, “todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función”. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 19 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Este derecho se encuentra desarrollado por los artículos 14 a 16 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las corporaciones Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, que especifica el modo en que deberá producirse la solicitud, así como las particularidades para el ejercicio de la consulta. Teniendo en cuenta lo anteriormente señalado, dado que las leyes atribuyen a los concejales la posibilidad de consultar la documentación obrante en el Ayuntamiento en el ejercicio de su actividad de control de los órganos de la Corporación y sin prejuicio de las especialidades que pudieran derivarse del régimen específico de determinados tratamientos (como los ficheros tributarios, sometidos a las limitaciones previstas en la Ley General Tributaria), pero que no son aplicables a este caso, la cesión de los datos en que consistiría la consulta se encuentra amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999. En todo caso, debe recordarse que, los cesionarios sólo podrán utilizar los datos en el ámbito de sus competencias, toda vez que éste es el límite establecido en la Ley de Bases de Régimen Local, indicando a su vez el artículo 4.2 de la Ley Orgánica 15/1999 que los datos “no podrán utilizarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. Por ello, la utilización de los datos se limitará al ejercicio de la función de control prevista en la Ley, sin que sea posible que los concejales den ningún tipo de publicidad a los datos ni los cedan a ningún tercero. “ III Lo anteriormente dicho es enteramente aplicable a la tercera cuestión planteada, relativa a la posibilidad de dar traslado a los concejales de la copia simple de una escritura de compraventa suscrita entre el Ayuntamiento y una empresa privada que reviste la forma jurídica de sociedad, en cuanto tal escritura pueda contener datos de personas físicas, estando amparada dicha cesión, igualmente, en lo previsto en el artículo 77 de la Ley 7/1985, de Bases de Régimen Local.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 20 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

CESIÓN DE DATOS DE FICHEROS MUNICIPALES A CONCEJALES. La consulta plantea la conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, de la cesión de cualesquiera datos contenidos en los ficheros municipales a los concejales de la Corporación y, en particular, a los del Grupo que actualmente ostenta la oposición en la misma. I Como cuestión previa, debe indicarse que resulta imposible a esta Agencia dar una respuesta con el nivel de detalle planteado en la consulta, al ignorarse el contenido de la totalidad de los ficheros de la Corporación ni las solicitudes concretas efectuadas. Dicho lo anterior, se hará referencia, en general, a los ficheros municipales y, posteriormente, se indicarán las especialidades aplicables a ficheros específicos tales como el Padrón Municipal de Habitantes y los ficheros de naturaleza tributaria. En todo caso, debe indicarse que el artículo 20.2 de la Ley Orgánica 15/1999 impone la inclusión en las normas de creación de los ficheros de la información referida a las cesiones previstas, por lo que deberán, al menos, incorporarse en la disposición las cesiones a las que se hará referencia en el presente informe, así como otras que sea posible llevar a cabo. II Con carácter general, la transmisión de dichos datos supondrá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 21 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”; esta disposición se ve complementada en el supuesto que ahora nos ocupa por lo dispuesto en el artículo 21 de la Ley Orgánica, del cual se desprende que será posible la cesión cuando una Ley lo permita. La solicitud podría fundamentarse en la necesidad de que el Concejal solicitante esté debidamente informados, a fin de llevar a cabo su función de control sobre la actividad del equipo de Gobierno del Ayuntamiento, en los términos previstos en el artículo 77 de la Ley 7/1985, de 2 de abril de 1985, de Bases de Régimen Local. A fin de dar una correcta solución a la cuestión, será preciso tomar en consideración las funciones que la vigente normativa atribuye a los miembros de las corporaciones locales. Según dispone el citado artículo 77, “todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función”. Este derecho se encuentra desarrollado por los artículos 14 a 16 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las corporaciones Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, que especifica el modo en que deberá producirse la solicitud, así como las particularidades para el ejercicio de la consulta. Teniendo en cuenta lo anteriormente señalado, dado que las leyes atribuyen a los concejales la posibilidad de consultar la documentación obrante en el Ayuntamiento en el ejercicio de su actividad de control de los órganos de la Corporación y sin prejuicio de las especialidades que pudieran derivarse del régimen específico de determinados tratamientos (como los ficheros tributarios, sometidos a las limitaciones previstas en la Ley General Tributaria), pero que no son aplicables a este caso, la cesión de los datos en que consistiría la consulta se encuentra amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 22 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

No obstante, resultará imprescindible que en la petición de información efectuada pos los concejales, se determine con claridad la finalidad a la que se van a destinar los datos solicitados. En todo caso, debe recordarse que, los cesionarios sólo podrán utilizar los datos en el ámbito de sus competencias, toda vez que éste es el límite establecido en la Ley de Bases de Régimen Local, indicando a su vez el artículo 4.2 de la Ley Orgánica 15/1999 que los datos “no podrán utilizarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. Por ello, la utilización de los datos se limitará al ejercicio de la función de control prevista en la Ley, sin que sea posible que los concejales den ningún tipo de publicidad a los datos ni los cedan a ningún tercero. III En particular, en relación con el Padrón Municipal de Habitantes, el artículo 16.3 de la propia Ley de Bases de Régimen Local redactado conforme a lo establecido en la Ley Orgánica 14/2003, de 20 de noviembre, establece que “los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia”. Fuera de estos supuestos, los datos del Padrón son confidenciales (artículo 53 del Real Decreto 1690/1986, de 11 de julio que regula el Reglamento de Población y Demarcación Territorial de las Entidades Locales) y su acceso se rige por la Ley 15/1999 y por la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. La Agencia Española de Protección de Datos ha considerado que la expresión «datos del Padrón municipal» que se emplea en el artículo 16.3 de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 23 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

LBRL se refiere únicamente a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón municipal: la determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio. Por ello, cualquier comunicación o cesión de los datos del Padrón deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer el dato del domicilio de la persona afectada, dado que del artículo 4.2 de la Ley se deriva la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba. Aplicando este criterio, la cuestión del uso legítimo de los datos del Padrón Municipal por parte del personal que presta sus servicios en la Corporación consultante únicamente será posible en aquellos supuestos en los que dicho acceso traiga su causa de la necesidad de conocer el domicilio de los ciudadanos para el adecuado ejercicio por parte de la corporación de las competencias que la Ley le atribuye, de acuerdo con el principio administrativo de competencia establecido en el artículo 12 de la Ley 30/1992, de 26 de noviembre, lo que en el ámbito de la Administración Local obliga a remitirse a lo dispuesto en los artículos 25 a 28 de la citada Ley de Bases de Régimen Local, en los que se enumeran y establecen tales competencias, que se ejercerán de acuerdo con su desarrollo normativo. Por ello, la utilización y el acceso a los datos del padrón por parte del personal que presta sus servicios en la Corporación consultante únicamente será posible en aquellos supuestos en los que dicho acceso traiga su causa de la necesidad de conocer el domicilio de los ciudadanos para el adecuado ejercicio por parte de la corporación de las competencias que la Ley le atribuye, siendo contrario a la Ley la autorización de cualquier otro acceso. Atendiendo a las consideraciones realizadas, resultará posible la cesión a los concejales de la Corporación consultante de los datos contenidos en el Padrón Municipal de Habitantes, si la misma se fundamentase en la necesidad de que los Concejales solicitantes estén debidamente informados, a fin de llevar a cabo su función de control sobre la actividad del equipo de Gobierno del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 24 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Ayuntamiento, en los términos previstos en el artículo 77 de la Ley 7/1985, de 2 de abril de 1985, de Bases de Régimen Local, en los mismos términos que se han señalado con carácter general. IV Por último, en relación con los ficheros de naturaleza tributaria, debe señalarse que, en este último supuesto, el artículo 2.2 del Real Decreto Legislativo 2/2004, de 5 de marzo por el que se aprueba el Texto Refundido de la Ley Reguladora de las Haciendas Locales, consagra el principio de que “para la cobranza de los tributos y de las cantidades que como ingresos de Derecho público debe percibir la Hacienda de las Entidades locales, de conformidad con lo previsto en el apartado anterior, dicha Hacienda ostentará las prerrogativas establecidas legalmente para la Hacienda del Estado, y actuará, en su caso, conforme a los procedimientos administrativos correspondientes”. Ello supone que, en el ejercicio de sus competencias, resultarán de aplicación a las Haciendas Locales las mismas prerrogativas que la Ley General Tributaria atribuye a la Hacienda Estatal, lo que tiene una enorme trascendencia en lo que se refiere a la aplicación de las normas reguladoras de la protección de datos de carácter personal. Así, en relación con la cesión de datos de aquellas personas que figuran como deudores de la tasa de basura, serán de aplicación en este caso las previsiones contenidas en el artículo 95 de la Ley 57/2003, de 17 de diciembre, General Tributaria, cuyo apartado primero establece: “Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: a) La investigación o persecución de delitos públicos por los órganos jurisdiccionales o el Ministerio Público. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 25 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

b) La colaboración con otras Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias. c) La colaboración con la Tesorería General de la Seguridad Social para el correcto desarrollo de los fines recaudatorios encomendados a la misma. d) La colaboración con cualesquiera otras Administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos o de la Unión Europea. e) La colaboración con las comisiones parlamentarias de investigación en el marco legalmente establecido f) La protección de los derechos e intereses de los menores e incapacitados por los órganos jurisdiccionales o el Ministerio Público g) La colaboración con el Tribunal de Cuentas en el ejercicio de sus funciones de fiscalización de la Agencia Estatal de la Administración tributaria h) La colaboración con los Jueces y Tribunales para la ejecución de resoluciones judiciales firmes. La solicitud de información exigirá resolución expresa, en la que previa ponderación de los intereses públicos y privados afectados en el asunto de que se trate y por haberse agotado lo demás medios o fuentes de conocimiento sobre la existencia de bienes o derechos del deudor, se motive la necesidad de recabar datos de la Administración tributaria. i) La colaboración con la Comisión de Vigilancia de Actividades de Financiación del Terrorismo en el ejercicio de sus funciones, de acuerdo con lo previsto en el artículo 8 de la Ley de Prevención y Bloqueo de la Financiación del Terrorismo. j) La colaboración con el Servicio Ejecutivo creado por la Ley 19/1993, de 28 de diciembre, sobre Determinadas Medidas de Prevención del Blanqueo de Capitales, en las actividades que dicho servicio lleve a cabo en el ámbito de lo previsto en el artículo 1 de la mencionada Ley.” expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 26 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

De ello se desprende que los datos sometidos a tratamiento para finalidades de trascendencia tributaria únicamente podrán ser tratados por los Órganos de la Corporación Municipal que ostenten competencias en dicha materia, sin que sea posible su utilización por otros Órganos o dependencias salvo en los supuestos en que la Ley diera cobertura a dicho tratamiento. En consecuencia, el acceso a datos de naturaleza tributaria por parte del Concejal que lo solicita, no estaría contemplado en los supuestos que reconoce el citado artículo 95 de la Ley General Tributaria, resultando su comunicación contraria a lo dispuesto en la Ley 15/1999.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 27 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

PUBLICACIÓN EN PÁGINA WEB DE UN AYUNTAMIENTO DE ACTAS, FOTOS Y VIDEOS DEL PLENO. La consulta plantea si resulta conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la publicación en el sitio Web del contenido de las actas de los plenos municipales y juntas de gobierno del Ayuntamiento, así como un extracto de las Resoluciones dictados por la Alcaldía y concejales delegados. Esta cuestión ya ha sido resuelta por la Agencia Española de Protección de Datos, en el informe de 20 de diciembre de 2004, donde se establecía que: “Como cuestión previa, debe recordarse que el artículo 2.1 de la Ley Orgánica 15/1999 delimita en su párrafo primero su ámbito objetivo de aplicación, al disponer que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, según el artículo 3 a) de la Ley, “Cualquier información concerniente a personas físicas

identificadas

o

identificables”. De este modo, es preciso aclarar que, sin perjuicio de lo dispuesto en otras leyes, el presente informe se limitará a analizar la conformidad con lo dispuesto en la Ley Orgánica 15/1999 de la publicación de los datos de carácter personal que resulten de las mencionadas actas. Dicho lo anterior, la publicación en Internet de los datos contenidos en las actas de los Plenos y Juntas de Gobierno del Ayuntamiento constituye una cesión o comunicación de datos de carácter personal, definida por el artículo 3 j) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. En relación con las cesiones de datos, prescribe el artículo 11.1 de la Ley Orgánica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 28 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, No obstante, no será necesario el consentimiento de los afectados cuando la comunicación se encuentre amparada por una norma con rango de Ley (artículo 11.2 a) o cuando se refiera a datos incorporados en fuentes accesibles al público (artículo 11.2 b). A tal efecto, son fuentes accesibles al público, según el segundo inciso del artículo 3 j) “exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas

de

personas

pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. Pues bien, respecto de la publicidad de las actividades municipales, el artículo 70 de la Ley reguladora de las Bases del Régimen Local, en la redacción dada al mismo por la Ley 57/2003, de 16 de diciembre, dispone lo siguiente: “1. Las sesiones del Pleno de las corporaciones locales son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. No son públicas las sesiones de la Junta de Gobierno Local. 2. Los acuerdos que adopten las corporaciones locales se publican o notifican en la forma prevista por la Ley. Las ordenanzas, incluidos el articulado de las normas de los planes urbanísticos, así como los acuerdos correspondientes a éstos cuya aprobación definitiva sea competencia de los entes locales, se publicarán en el "Boletín Oficial" de la provincia y no entrarán en vigor hasta que se haya publicado completamente su texto y haya transcurrido el plazo previsto en el artículo 65.2 salvo los presupuestos y las ordenanzas fiscales que se publican y entran en vigor en los términos establecidos en la Ley 39/1988, de 28 de diciembre, Reguladora de las Haciendas Locales. Las Administraciones públicas expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 29 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

con competencias urbanísticas deberán tener, a disposición de los ciudadanos que lo soliciten, copias completas del planeamiento vigente en su ámbito territorial. 3. Todos los ciudadanos tienen derecho a obtener

opias y certificaciones

acreditativas de los acuerdos de las corporaciones locales y sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105, párrafo b), de la Constitución. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada.” Del tenor del precepto transcrito se desprende que la Ley determina la publicidad del contenido de las sesiones del Pleno, pero en ningún caso de la Junta de Gobierno, añadiendo el régimen de publicación en los Boletines Oficiales de los acuerdos adoptados. De este modo, únicamente sería conforme con lo dispuesto en la Ley Orgánica 15/1999 la comunicación de datos, mediante su inclusión en Internet, cuando dichos datos se refieran a actos debatidos en el Pleno de la Corporación o a disposiciones objeto de publicación en el correspondiente Boletín Oficial, dado que únicamente en estos supuestos la cesión se encontraría amparada, respectivamente, en una norma con rango de Ley o en el hecho de que los datos se encuentran incorporados a fuentes accesibles al público. En los restantes supuestos, y sin perjuicio de lo dispuesto en otras Leyes, la publicación únicamente sería posible si se contase con el consentimiento del interesado o si los datos no pudieran en ningún caso, vincularse con el propio interesado, cuestión ésta que, como se indicó, puede

resultar

sumamente

compleja, dadas las características del Municipio en cuestión, por cuanto un número reducido de datos, incluso sin incluir los meramente identificativos del afectado, podría identificar a aquél.” En virtud de lo expuesto, podemos concluir señalando que sólo se podrán hacer públicos, datos personales si previamente si tiene el consentimiento de los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 30 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

interesados. La última cuestión plantea si los decretos o resoluciones dictados por el Ayuntamiento, al tratarse de actos

que ponen fin a la vía administrativa son en

de libre acceso para todos los ciudadanos. El artículo 3 j) de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de datos de Carácter Personal, define las fuentes accesibles al público como “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación”, indica taxativamente que “tienen la consideración de fuentes de acceso público, exclusivamente, el

censo

promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. De la definición que acabamos de transcribir, no parece deducirse que las resoluciones o actos dictados por un Ayuntamiento que porgan fin a la vía administrativa tengan la consideración de fuente accesible al público, en consecuencia no son de libre acceso a los ciudadanos. A la misma conclusión hay que llegar, respecto de las publicaciones relativas

a

las

actas

de

los

Consejos

Escolares

Municipales,

Consejos

Socioculturales Municipales, Consejos de Distrito de Playa Honda y Consejos Municipales de Patrimonio Histórico en la página Web. II En la consulta también se hace referencia a la publicación de las fotografías y videos realizadas en los distintos eventos organizados por el Ayuntamiento en la página Web del mismo.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 31 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Estos hechos publicados en dicha página Web, informan de las actividades que el citado Ayuntamiento ha realizado y por tanto pueden constituir hechos noticiables que interesen al público en general, en cuyo caso resulta de aplicación el artículo 20 de la Constitución Española que dispone en su epígrafe 1, apartados a) y d): "1. Se reconocen y protegen los derechos: a) A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción. (…) d) A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.” La Jurisprudencia del Tribunal Constitucional tiende a otorgar una posición preferente a la libertad de información frente a otros derechos constitucionales, siempre y cuando los hechos comunicados se consideren de relevancia pública (STC 105/1983, STC 107/1988) y atendiendo a la veracidad de la información facilitada (STC 6/1988, STC 105/1990, STC 240/1992). Así, el citado Tribunal afirma: "Dada su función institucional, cuando se produzca una colisión de la libertad de información con el derecho a la intimidad y al honor aquélla goza, en general, de una posición preferente y las restricciones que de dicho conflicto puedan derivarse a la libertad de información deben interpretarse de tal modo que el contenido fundamental del derecho a la información no resulte, dada su jerarquía institucional desnaturalizado ni incorrectamente

relativizado.

…resulta

obligado

concluir

que

en

esa

confrontación de derechos, el de la libertad de información transmitida sea veraz, y esté referida a asuntos públicos que son de interés general por las materias a que se refieren y por las personas que en ellos intervienen, contribuyendo, en consecuencia, a la formación de la opinión pública” (STC 171/1990). expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 32 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

En el mismo sentido se pronuncia la Sentencia 204/1997, indicando:"las libertades del artículo 20 de la Constitución no sólo son derechos fundamentales de cada ciudadano, sino también de condición de existencia de la opinión pública libre, indisolublemente unida al pluralismo político, que es su valor fundamental y requisito de funcionamiento del Estado democrático que, por lo mismo, transcienden el significado común y propio de los demás derechos fundamentales. …el valor preponderante de las libertades del artículo 20 de la Constitución sólo puede verse apreciado y protegido cuando aquéllas se ejerciten en conexión con asuntos que son de interés general, por las materias a que se refieran y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública (…)”. Esta orientación viene a coincidir, en términos generales, con la propia Directiva 95/46/CE, cuyo Considerando 37 literalmente señala que “para el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la presente Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o comunicar informaciones, tal y como se garantiza en el artículo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.” Por otra parte, la Audiencia Nacional en Sentencia de 12 de enero de 2001

considera “que en la legislación

española no existe un tratamiento

específico de la concurrencia del tratamiento de datos automatizados de datos personales, con la libertad de información, en contra de lo que ocurre en la normativa europea. En esta línea, la Sala quiere indicar que el Convenio para la protección de las personas con respecto al tratamiento de datos automatizados de datos de carácter personal (BOE de 15 de noviembre de 1985), establece en su art 9.2 b) como excepción a las garantías de los arts. 5, 6 y 8 “la protección de los derechos y libertades de otras personas”, expresión que la doctrina no duda en referir a la libertad de información de hecho en el preámbulo se dice que el art 9.2 b) se refiere entre otros a los intereses de terceros, tales como, por ejemplo, “la libertad de prensa”. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 33 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Por su parte el art 9 de la Directiva 95/46/CE dispone que: “en lo referible al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.” Ahora bien, pese a la carencia de regulación específica, la mejor doctrina entiende que visto el contenido del art. 6.1 de la LORTAD (LOPD), a cuyo tenor “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”; la expresión "salvo que la ley disponga otra cosa”, permite entender que no es necesario el consentimiento del afectado, cuando el art 20 de la CE permite el tratamiento. Lo que exigirá una ponderación del caso concreto, y desde los principios de adecuación, pertinencia y congruencia recogidos en el art. 4 de la LORTAD (LOPD) (…)”. En consecuencia, para admitir la publicación de videos y fotos

en la

página web de la entidad consultante, sin recabar el consentimiento de los ciudadanos afectados, es preciso que la información publicada tenga relevancia pública, esto es, que se den las circunstancias constitucionalmente previstas para que la libertad de información prevalezca sobre el derecho a la protección de datos de carácter personal.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 34 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

ACCESO A LOS DATOS DEL PADRÓN POR CONCEJALES DE LAS CORPORACIONES LOCALES En cuanto a la cesión a concejales de los datos contenidos en el Padrón Municipal de Habitantes, debe partirse de lo dispuesto en el artículo 11.1 de la LOPD, que indica: "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado"; disposición que debe complementarse en el supuesto examinado con lo dispuesto en el artículo 21 de la propia Ley Orgánica, en relación a la cesión de datos entre Administraciones Públicas, estableciéndose que la misma podrá tener lugar siempre que una Ley la prevea o la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. En particular, y en lo referente al Padrón Municipal de Habitantes, el artículo 16.3 de la Ley Reguladora de las Bases del Régimen Local prevé que sólo procederá la cesión de los datos contenidos en el padrón municipal a otras Administraciones en los supuestos en que dicha cesión se refiera a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón municipal: la determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio. Considerando el supuesto de que dicha cesión pueda efectuarse a concejales municipales cuando estos lo soliciten, debe valorarse la necesidad propia de los concejales de una corporación municipal de estar debidamente informados, a fin de llevar a cabo su función de control sobre la actividad del equipo de Gobierno del Ayuntamiento. A fin de dar una correcta solución a la cuestión, será preciso tomar en consideración las funciones que la vigente normativa atribuye a los miembros de las corporaciones locales. Según dispone el artículo 77 de la Ley 7/1985, de 2 de abril de 1985, de Bases de Régimen Local, "todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 35 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función". Este derecho se encuentra desarrollado por los artículos 14 a 16 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Corporaciones Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, que especifica el modo en que deberá producirse la solicitud, así como las particularidades para el ejercicio de la consulta. Tomando en consideración lo anteriormente señalado, y dado que las leyes atribuyen a los concejales la posibilidad de consultar la documentación obrante en el ayuntamiento, en el ejercicio de su actividad de control de los órganos de la Corporación, la cesión de los datos en que consistiría la consulta se encuentra amparada por los artículos 11.2 a) y 21.1 de la Ley Orgánica 15/1999. En estos supuestos, el cesionario sólo podrá utilizar los datos en el ámbito y para el concreto fin del ejercicio de esta competencia, toda vez que éste es el límite establecido en la LBRL, indicando a su vez el artículo 4.2 de la Ley Orgánica 15/1999 que los datos "no podrán utilizarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos", habiéndose en consecuencia informado desfavorablemente supuestos de utilización de los datos del Padrón Municipal Habitantes por parte de miembros de una corporación (incluido el Alcalde) para la remisión de cartas salutatorias a determinados residentes en el municipio.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 36 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

ENVÍO DE LAS ACTAS DE LAS CORPORACIONES LOCALES A LOS CONCEJALES Y NO A TERCERAS PERSONAS. La consulta plantea, sí la actuación llevada a cabo por un concejal, el cual envía las actas de la Corporación a particulares, se ajusta a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal. En primer lugar, es preciso indicar que el envío de las actas de la Corporación a los Concejales, constituye una cesión permitida por Ley, dado que la transmisión de dichos datos supondrá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”; esta disposición se ve complementada en el supuesto que ahora nos ocupa por lo dispuesto en el artículo 21 de la Ley Orgánica, del cual se desprende que será posible la cesión cuando una Ley lo permita. La solicitud podría fundamentarse en la necesidad de que los Concejales solicitantes estén debidamente informados, a fin de llevar a cabo su función de control sobre la actividad del equipo de Gobierno del Ayuntamiento, en los términos previstos en el artículo 77 de la Ley 7/1 985, de 2 de abril de 1985, de Bases de Régimen Local. A fin de dar una correcta solución a la cuestión, será preciso tomar en consideración las funciones que la vigente normativa atribuye a los miembros de las corporaciones locales. Según dispone el citado artículo 77, “todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 37 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función”. Este derecho se encuentra desarrollado por los artículos 14 a 16 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las corporaciones Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, que especifica el modo en que deberá producirse la solicitud, así como las particularidades para el ejercicio de la consulta. Teniendo en cuenta lo anteriormente señalado, dado que las leyes atribuyen a los concejales la posibilidad de consultar la documentación obrante en el Ayuntamiento en el ejercicio de su actividad de control de los órganos de la Corporación y sin prejuicio de las especialidades que pudieran derivarse del régimen específico de determinados tratamientos, como los ficheros tributarios, sometidos a las limitaciones previstas en la Ley General Tributaria, la cesión de los datos en que consistiría la consulta se encuentra amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999. En todo caso, debe recordarse que, los cesionarios sólo podrán utilizar los datos en el ámbito de sus competencias, toda vez que éste es el límite establecido en la Ley de Bases de Régimen Local, indicando a su vez el artículo 4.2 de la Ley Orgánica 15/1 999 que los datos “no podrán utilizarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. Por ello, la utilización de los datos se limitará al ejercicio de la función de control prevista en la Ley, sin que sea posible que los concejales den ningún tipo de publicidad a los datos ni los cedan a ningún tercero, ya que la cesión a terceras personas carece de fundamento legal. Es cuanto tiene el honor de informar a V.l. Madrid, 27 de mayo de 2008

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 38 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

REGISTROS DE INTERESES DE LAS ENTIDADES LOCALES. La consulta plantea las implicaciones que en relación con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, puede plantear lo establecido en el artículo 75.7 de la Ley reguladora de las Bases del Régimen Local, introducido por la disposición adicional novena de la Ley 8/2007, de 28 de mayo, de Suelo. El citado precepto establece la obligación de los representantes locales, así como los miembros no electos de la Junta de Gobierno Local, de formular “declaración sobre causas de posible incompatibilidad y sobre cualquier actividad que les proporcione o pueda proporcionar ingresos económicos”, así como “declaración de sus bienes patrimoniales y de la participación en sociedades de todo tipo, con información de las sociedades por ellas participadas y de las liquidaciones de los impuestos sobre la Renta, Patrimonio y, en su caso, Sociedades”. Además, se prevé que “las declaraciones anuales de bienes y actividades serán publicadas con carácter anual, y en todo caso en el momento de la finalización del mandato, en los términos que fije el Estatuto municipal” y “se inscribirán en los siguientes Registros de intereses, que tendrán carácter público: a) La declaración sobre causas de posible incompatibilidad y actividades que proporcionen o puedan proporcionar ingresos económicos, se inscribirá en el Registro de Actividades constituido en cada Entidad local. b) La declaración sobre bienes y derechos patrimoniales se inscribirá en el Registro de Bienes Patrimoniales de cada Entidad local, en los términos que establezca su respectivo estatuto”. Excepcionalmente, se señala que “los representantes locales y miembros no electos de la Junta de Gobierno Local respecto a los que, en virtud de su cargo, resulte amenazada su seguridad personal o la de sus bienes o negocios, la de sus familiares, socios, empleados o personas con quienes tuvieran relación económica o profesional podrán realizar la declaración de sus bienes y derechos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 39 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

patrimoniales ante el Secretario o la Secretaria de la Diputación Provincial o, en su

caso,

ante

el

órgano

competente

de

la

Comunidad

Autónoma

correspondiente. Tales declaraciones se inscribirán en el Registro Especial de Bienes Patrimoniales, creado a estos efectos en aquellas instituciones”. “En este supuesto, concluye el precepto, aportarán al Secretario o Secretaria de su respectiva entidad mera certificación simple y sucinta, acreditativa de haber cumplimentado sus declaraciones, y que éstas están inscritas en el Registro Especial de Intereses a que se refiere el párrafo anterior, que sea expedida por el funcionario encargado del mismo”. La consulta se refiere, en particular, a las implicaciones que en materia de protección de datos pueden derivarse de la publicación y acceso a los registros a los que se ha hecho referencia. En informe de 11 de octubre de 2007 ya se señaló por esta Agencia que los mencionados registros se encuentran plenamente sometidos a lo dispuesto en la Ley Orgánica 15/1999, conteniendo datos de carácter personal de los representantes locales y miembros no electos de la Junta de Gobierno Local, así como en su caso de terceras personas vinculadas por los mismos. Ello exige, como se indicaba en el mencionado informe, que por parte de la Corporación local se adopte la correspondiente norma de creación del fichero, que deberá contener las menciones establecidas en el artículo 20.2 de la Ley Orgánica 15/1999. Dicho esto, la obligación de declarar prevista en el 75.7 de la Ley de Bases de Régimen Local implicará un tratamiento de datos de carácter personal por parte de la Corporación. Del mismo modo, la publicación de las declaraciones y su incorporación a los registros de intereses regulados por el artículo constituirá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “toda revelación de datos realizada a una persona distinta del interesado”. Respecto del tratamiento de los datos, el artículo 6.1 de la Ley Orgánica expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 40 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. A su vez, en cuanto a la cesión, el artículo 11.1 establece que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”; no obstante, será posible la cesión de los datos sin contar con el consentimiento del afectado cuando la misma se encuentre habilitada por una norma con rango de Ley En el presente caso, el artículo 75.7 de la Ley impone por una parte la obligación de declarar y por otra la de incluir los datos relativos a las declaraciones de bienes y actividades en los registros regulados por el mismo. De este modo, el tratamiento y la cesión de los datos podrían considerarse amparados por los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999 en relación con las normas citadas. En este sentido, el artículo 75.7 establece un principio de publicidad formal de los mencionados registros, no limitado en cuanto a las exigencias requeridas para el acceso a la información, al señalar que tales registros serán “públicos” y establecer determinadas limitaciones en casos concretos referidos al posible riesgo que para el afectado o terceras personas podría conllevar la inclusión de los datos en el Registro, para cuyo supuesto se establece un régimen especial basado en la inclusión de los datos en un Registro del que, a diferencia del general, no se predica el carácter público, con la inclusión de una referencia sucinta en el Registro público, relativa a la emisión de la declaración. En cuanto al alcance de la publicación, el artículo 4.1 de la Ley Orgánica 15/1999 dispone que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. La Ley de Bases de Régimen Local parece venir a establecer qué ha de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 41 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

entenderse como información adecuada en los supuestos previstos en su artículo 75.7, al referirse, en cuanto a las declaraciones de actividades a las “causas de posible incompatibilidad” de estos cargos y a “cualquier actividad que les proporcione o pueda proporcionar ingresos económicos”. Del mismo modo, en cuanto a las declaraciones de bienes, se considera ajustada a la Ley la declaración de los “bienes patrimoniales y de la participación en sociedades de todo tipo, con información de las sociedades por ellas participadas y de las liquidaciones de los impuestos sobre la Renta, Patrimonio y, en su caso, Sociedades”. De este modo, las declaraciones deberían ajustarse a las informaciones expresamente previstas en la propia norma, sin extenderse a otras respecto de las cuales no se considera por aquélla necesaria la declaración. En cuanto a la publicidad e inclusión en los registros de la Corporación, ya se ha indicado que la Ley la prevé con carácter general, lo que se desprende del supuesto excepcional contemplado en sus dos últimos párrafos. Al propio tiempo, el precepto no parece establecer límites en lo referente a los datos que habrían de ser objeto de publicación e inscripción, más allá de los derivados de la enunciación del propio contenido de las declaraciones, que el propio precepto detalla. En consecuencia, los Registros de intereses deberían incluir los datos que respectivamente exige el artículo 75.7 para cada una de las declaraciones, tal y como se establece en la propia norma. Así, el Registro de Actividades incorporará los datos referidos a la posible incompatibilidad y las actividades que proporcionen o puedan proporcionar ingresos económicos, mientras que el Registro de Bienes Patrimoniales incluirá los datos sobre bienes y derechos patrimoniales a los que se refiere el precepto, con la única excepción, en ambos casos de los datos procedentes de las declaraciones de “Los representantes locales y miembros no electos de la Junta de Gobierno Local respecto a los que, en virtud de su cargo, resulte amenazada su seguridad personal o la de sus bienes o negocios, la de sus familiares, socios, empleados o personas con quienes tuvieran relación económica o profesional”. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 42 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Al propio tiempo, tales datos serán los que habrán de ser objeto de publicación, en los términos previstos en el tan citado artículo 75.7, con similares excepciones a las que acaban de indicarse, encontrando dicha publicación amparo en el artículo 11.2 a) de la Ley Orgánica 15/1999. En consecuencia, la publicación de los datos a los que ha venido haciéndose referencia, con la única excepción de los supuestos contemplados en los dos últimos párrafos del artículo 75.7, así como su inclusión en los Registros de Intereses previstos en la citada norma resultan conformes a lo dispuesto en la Ley Orgánica 15/1999.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 43 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

CREACIÓN DE REGISTROS DE INTERESES DE CARÁCTER PÚBLICO EN LAS CORPORACIONES LOCALES. La consulta plantea si existe colisión entre el contenido de lo dispuesto en la Ley de Bases del Régimen Local y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta cuestión ya ha sido analizada por la Agencia Española de Protección de Datos en el informe de fecha de 2 de agosto de 2007, en el que se establecía lo siguiente: “Del contenido de la consulta se desprende que tras la modificación operada en el artículo 75 la Ley 7/1985, de 2 abril de Bases del Régimen Local, por lo dispuesto en la Disposición Adicional novena de la Ley8/2007, de 28 de mayo del Suelo que establece lo siguiente “(...)7. Los representantes locales, así como los miembros no electos de la Junta de Gobierno Local, formularán declaración sobre causas de posible incompatibilidad y sobre cualquier actividad que les proporcione o pueda proporcionar ingresos económicos. Formularán asimismo declaración de sus bienes patrimoniales y de la participación en sociedades de todo tipo, con información de las sociedades por ellas participadas y de las liquidaciones de los impuestos sobre la Renta, Patrimonio y, en su caso, Sociedades. Tales declaraciones, efectuadas en los modelos aprobados por los plenos respectivos, se llevarán a cabo antes de la toma de posesión, con ocasión del cese y al final del mandato, así cuando se modifiquen las circunstancias de hecho. Las declaraciones anuales de bienes y actividades serán publicadas con carácter anual, y en todo caso en el momento de la finalización del mandato, en los términos que fije el Estatuto municipal. Tales declaraciones se inscribirán en los siguientes Registros de intereses, que tendrán carácter público: a) La declaración sobre causas de posible incompatibilidad y actividades que proporcionen o puedan proporcionar ingresos económicos, se inscribirá en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 44 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Registro de Actividades constituido en cada Entidad local. b) La declaración sobre bienes y derechos patrimoniales se inscribirá en el Registro de Bienes Patrimoniales de cada Entidad local, en los términos que establezca su respectivo estatuto. Los representantes locales y miembros no electos de la Junta de Gobierno Local respecto a los que, en virtud de su cargo, resulte amenazada su seguridad personal o la de sus bienes o negocios, la de sus familiares, socios, empleados o personas con quienes tuvieran relación económica o profesional podrán realizar la declaración de sus bienes y derechos patrimoniales ante el Secretario o la Secretaria de la Diputación Provincial o, en su caso, ante el órgano competente de la Comunidad Autónoma correspondiente. Tales declaraciones se inscribirán en el Registro Especial de Bienes Patrimoniales, creado a estos efectos en aquellas instituciones. En este supuesto, aportarán al Secretario o Secretaria de su respectiva entidad

mera

certificación

simple

y

sucinta,

acreditativa

de

haber

cumplimentado sus declaraciones, y que éstas están inscritas en el Registro Especial de Intereses a que se refiere el párrafo anterior, que sea expedida por el funcionario encargado del mismo.” Se plantea si la comunicación de dichos datos, que puede derivarse de la publicación de los mismos en un Registro públicos vulnera la Ley Orgánica 15/1999. Como punto de partida, la transmisión de datos a terceros distintos de su titular constituye una cesión o comunicación de datos, definida por el artículo 3 i) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, como “Toda revelación de datos realizada a una persona distinta del interesado”. Dicho esto, el artículo 11.1 de la Ley Orgánica dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta regla sólo se verá exceptuada en los supuestos contemplados expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 45 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

en el artículo 11.2, entre los que pudiera resultar relevante a los efectos del presente

supuesto

el

apartado

a)

que

habilitan

respectivamente

la

comunicación de los datos en caso de que así lo habilite una norma con rango de Ley. Por tanto los datos que van a constar en los Registros de intereses, que tendrán carácter público, no son datos sensibles, sino información sobre las actividades que proporcionen o puedan proporcionar ingresos económicos, y sobre bienes y derechos patrimoniales. Por tanto la comunicación de dichos datos, se encontraría amparada en el artículo 11.2 a) dado que la Ley de Bases del Régimen Local.” En consecuencia, dado el contenido otorgado a la Ley del Suelo, tras la modificación operada por la Ley de Bases de Régimen Local, el acceso a dicha información es público y los datos a incluir son los previstos en la misma norma, sin que por ello se vulnere la Ley Orgánica 15/1999, pues como anteriormente se señaló la cesión está amparada en una Ley.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 46 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

COMUNICACIÓN DEL IBI A LOS CONCEJALES DEL AYUNTAMIENTO A LOS EFECTOS DE EFECTUAR OPOSICIÓN. La consulta plantea si en virtud de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, se puede denegar la documentación requerida por un concejal en el ejercicio de su labor de oposición. En primer lugar es preciso indicar que del tenor de la consulta se desprende que la información requerida por el concejal al secretario del Ayuntamiento, se refiere a un informe desfavorable del distrito sanitario de la Axarquía y la fotocopia del IBI de un supermercado, cuya propiedad pertenece a otro concejal. Como cuestión previa, debe recordarse que el artículo 2.1, párrafo primero de la Ley Orgánica 15/1999 dispone que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, conforme al artículo 3 a) “Cualquier información concerniente a personas físicas identificadas o identificables”. De dichos preceptos se deduce claramente que la protección conferida por la Ley Orgánica 15/1999 no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, sin perjuicio de que los Tribunales puedan atender las reclamaciones de responsabilidad que pudieran exigirse en el caso de que el uso de información relativa a las empresas les cause algún perjuicio. En consecuencia, las previsiones de la Ley Orgánica 15/1999 no serían de aplicación a los datos referidos a personas jurídicas. En consecuencia, si la información solicitada por el concejal tiene como objetivos las personas jurídicas, las garantías y previsiones de la Ley Orgánica 15/1999, no serán aplicables. Por el contrario si la documentación solicitada, lleva implícito la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 47 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

comunicación de datos de carácter personal resultará aplicable la citada Ley Orgánica. En cuyo caso nos encontraríamos ante una comunicación o cesión de datos definida en el artículo por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”. Con carácter general, y según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”; esta disposición se ve complementada en el supuesto que ahora nos ocupa por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica, del cual se desprende que será posible la cesión cuando una Ley lo permita. Según dispone el artículo 77 de la Ley 7/1985, de 2 de abril de 1985, de Bases de Régimen Local, “todos los miembros de las Corporaciones locales tienen derecho a obtener del Alcalde o Presidente o de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función”. Este derecho se encuentra desarrollado por los artículos 14 a 16 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las corporaciones Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, que especifica el modo en que deberá producirse la solicitud, así como las particularidades para el ejercicio de la consulta. Asimismo como se indica en la consulta el Reglamento Orgánico de la citada entidad dispone en su artículo 23 que “Los Concejales tienen derecho a obtener del Alcalde y de la Comisión de Gobierno cuantos antecedentes, datos o informaciones obran en poder y servicios de la Corporación y resulten precisos para el desarrollo de las funciones que correspondan.(..)” Tomando en consideración lo anteriormente señalado, y dado que las leyes atribuyen a los concejales la posibilidad de consultar la documentación expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 48 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

obrante en el ayuntamiento, en el ejercicio de su actividad de control de los órganos de la Corporación, la cesión de los datos en que consistiría la consulta se encuentra amparada por los artículos 11.2 a) de la Ley Orgánica 15/1999, todo ello, sin prejuicio de las especialidades que pudieran derivarse del régimen específico de determinados tratamientos (como los ficheros tributarios, sometidos a las limitaciones previstas en la Ley General Tributaria). Según se indica en la consulta, el concejal solicita una copia de un informe desfavorable del distrito sanitario de la Axarquía y una fotocopia del pago del IBI. El acceso al informe del distrito sanitario de la Axarquía, lo habilitaría la Ley de Bases del Régimen Local, sin embargo el uso de dicha información, deberá de quedar limitado única y exclusivamente a las funciones de control que legalmente tiene atribuidas, no pudiendo por tanto utilizarse dicha información para ninguna otra finalidad. En relación con este punto, debe recordarse que, conforme dispone el principio de proporcionalidad establecido, en el artículo 4 de la LO 15/1999, el cual reza lo siguiente: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” Sin embargo, la fotocopia del pago del IBI, está relacionada con las obligaciones tributarias, y al ser documentación tributaria deberá de regirse por la Ley General Tributaria la comunicación de dichos datos. En este sentido, el artículo 2.2 del Texto Refundido de la Ley reguladora de las Haciendas Locales, aprobada por Real Decreto Legislativo 2/2004, de 5 de marzo, establece que “Para la cobranza de los tributos y de las cantidades que como ingresos de derecho público, tales como prestaciones patrimoniales de carácter público no tributarias, precios públicos, y multas y sanciones pecuniarias, debe percibir la hacienda de las entidades locales de conformidad con lo previsto en el apartado anterior, dicha Hacienda ostentará las prerrogativas establecidas legalmente para la hacienda del Estado, y actuará, en su caso, conforme a los procedimientos administrativos correspondientes”. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 49 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Ello supone que, en el ejercicio de sus competencias, resultarán de aplicación a las Haciendas Locales las mismas prerrogativas que la Ley General Tributaria atribuye a la Hacienda Estatal, siendo de aplicación a la recogida y comunicación de la información tributaria de que las mismas tuvieran conocimiento lo establecido en la citada Ley. Pues bien, el artículo 95.1 de la Ley 58/2003, de 17 de diciembre, General Tributaria, establece: “Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: a) La colaboración con los órganos jurisdiccionales y el Ministerio Fiscal en la investigación o persecución de delitos que no sean perseguibles únicamente a instancia de persona-agraviada b) La colaboración con otras Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias. c) La colaboración con la Inspección de Trabajo y Seguridad Social y con las entidades gestoras y servicios comunes de la Seguridad Social en la lucha contra el fraude en la cotización y recaudación de las cuotas del sistema de Seguridad Social, así como en la obtención y disfrute de prestaciones a cargo de dicho sistema. d) La colaboración con las Administraciones públicas para la lucha contra el delito fiscal y contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos o de la Unión Europea. e) La colaboración con las comisiones parlamentarias de investigación en el marco legalmente establecido. f) La protección de los derechos e intereses de los menores e incapacitados por expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 50 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

los órganos jurisdiccionales o el Ministerio Fiscal. g) La colaboración con el Tribunal de Cuentas en el ejercicio de sus funciones de fiscalización de la Agencia Estatal de Administración Tributaria. h) La colaboración con los jueces y tribunales para la ejecución de resoluciones judiciales firmes. La solicitud judicial de información exigirá resolución expresa en la que, previa ponderación de los intereses públicos y privados afectados en el asunto de que se trate y por haberse agotado los demás medios o fuentes de conocimiento sobre la existencia de bienes y derechos del deudor, se motive la necesidad de recabar datos de la Administración tributaria. i) La colaboración con el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, con la Comisión de Vigilancia de Actividades de Financiación del Terrorismo y con la Secretaría de ambas comisiones, en el ejercicio de sus funciones respectivas. j) La colaboración con órganos o entidades de derecho público encargados de la recaudación de recursos públicos no tributarios para la correcta identificación de los obligados al pago. k) La colaboración con las Administraciones públicas para el desarrollo de sus funciones, previa autorización de los obligados tributarios a que se refieran los datos suministrados” Por este motivo, en la comunicación de la copia del IBI, queda sujeta a la Ley General Tributaria, por ello, no podrá comunicarse dicha documentación, dado su carácter reservado, salvo que concurra alguna de las excepciones del artículo 95 anteriormente trascrito. En consecuencia podemos señalar que la Ley de Bases del Régimen Local habilita la comunicación del primero de los documentos solicitados, sin embargo la copia del pago del IBI tiene carácter reservado, cediéndolo sólo en los supuestos tasados legalmente.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 51 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

FICHEROS DE LOS GRUPOS MUNICIPALES. TITULARIDAD PRIVADA. CARÁCTER DE RESPONSABLE DEL PROPIO GRUPO. La consulta plantea cuáles son los requisitos necesarios para inscribir un fichero en que se recojan los datos referidos a las personas que se dirijan a la Oficina de Derechos Sociales adscrita al Grupo Municipal del Ayuntamiento de Madrid al que pertenece la consultante, a fin de que por la misma se proceda a la notificación del fichero al registro General de Protección de Datos, en los Términos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. La primera cuestión a dilucidar en el presente caso es la de si es posible la creación de un fichero por un Grupo Municipal y, en caso contrario a quién correspondería la creación del mismo. El artículo 73.3 de la Ley reguladora de las Bases del Régimen Local regula los Grupos Municipales, al disponer que “a efectos de su actuación corporativa, los miembros de las corporaciones locales se constituirán en grupos políticos, en la forma y con los derechos y las obligaciones que se establezcan con excepción de aquellos que no se integren en el grupo político que constituya la formación electoral por la que fueron elegidos o que abandonen su grupo de procedencia, que tendrán la consideración de miembros no adscritos”. Fuera de esta previsión, el precepto se refiere esencialmente a los derechos económicos y régimen contable del Grupo, al establecer que “el Pleno de la corporación, con cargo a los Presupuestos anuales de la misma, podrá asignar a los grupos políticos una dotación económica que deberá contar con un componente fijo, idéntico para todos los grupos y otro variable, en función del número de miembros de cada uno de ellos, dentro de los límites que, en su caso, se establezcan con carácter general en las Leyes de Presupuestos Generales del Estado y sin que puedan destinarse al pago de remuneraciones de personal de cualquier tipo al servicio de la corporación o a la adquisición de bienes que puedan constituir activos fijos de carácter patrimonial” y que “os grupos políticos deberán llevar con una contabilidad específica de la dotación a que se refiere el párrafo segundo de este apartado 3, que pondrán a disposición del Pleno de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 52 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Corporación, siempre que éste lo pida”. De lo dispuesto en la Ley se desprende, en primer lugar, la independencia del Grupo respecto del Partido Político al que pertenecen los concejales, quedando vinculado con la organización municipal. Por su parte, el Reglamento de organización, funcionamiento y régimen jurídico de las Entidades Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, se refiere a los Grupos en el Capítulo II de su Título I, estableciendo en primer lugar en su artículo 23.1 que “Los miembros de las Corporaciones locales, a efectos de su actuación corporativa, se constituirán en grupos”. Asimismo, conforme al artículo 26 “Los miembros de la Corporación que adquieran su condición con posterioridad a la sesión constitutiva de la Corporación deberán incorporarse a los grupos, conforme a las reglas acordadas por la Corporación”. Al propio tiempo, se prevé en el artículo 27 que “en la medida de las posibilidades funcionales de la organización administrativa de la entidad local, los diversos grupos políticos dispondrán en la sede de la misma de un despacho o local para reunirse de manera independiente y recibir visitas de ciudadanos, y el Presidente o el miembro de la Corporación responsable del área de régimen interior pondrá a su disposición una infraestructura mínima de medios materiales y personales”. En todo caso, el artículo 28 recalca la independencia del Grupo respecto de la formación política en cuya representación hubieran concurrido los electos en el proceso electoral, dado que conforme dispone el artículo 29 “Corresponde a los grupos políticos designar, mediante escrito de su Portavoz dirigido al Presidente y en los términos previstos en cada caso en el presente Reglamento, a aquellos de sus componentes que hayan de representarlos en todos los órganos colegiados integrados por miembros de la Corporación pertenecientes a los diversos grupos”. Por tanto, el Grupo Municipal se configura como una entidad distinta del partido político y no dependiente de la organización municipal que, sin perjuicio de la posible dotación presupuestaria efectuada por aquélla actuará con expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 53 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

independencia de la Corporación, en el estricto marco de las funciones atribuidas al Grupo y a los concejales que lo integran por la legislación reguladora del régimen local. Por último, debe recordarse que la Sentencia del Tribunal Constitucional 32/1985, de 6 de marzo, señala en su Fundamento Jurídico tercero que los Grupos Políticos carecen de personalidad jurídica, al indicar que “Los derechos cuya lesión invocaron los recurrentes en el proceso contencioso seguido ante la Audiencia Territorial de la Coruña y el Tribunal Supremo son los garantizados por los artículos 14 y 23.2 CE (también hay en la demanda algunas alusiones marginales al artículo 23.1 CE) y estos derechos son también los que ante nosotros se pretende hacer valer y aquellos cuya posible violación hemos de considerar. Antes de adentrarnos en esa consideración, parece necesario precisar que tales derechos los ostentan sólo las personas físicas o jurídicas, no los grupos políticos carentes de personalidad, como son las fracciones políticas presentes en un órgano colegiado, y que, en consecuencia, la minoría de uno de tales órganos no puede, en cuanto tal, invocar su infracción, ni acudir para remediarla ante la jurisdicción ordinaria y en consecuencia tampoco ante nosotros en la vía del amparo.” De todo lo antedicho se desprende que, debiendo ser considerado el Grupo Municipal como una entidad sin personalidad jurídica, pero independiente de la organización del Partido Político con el que sus miembros hubieran concurrido al proceso electoral (pudiendo existir grupos de composición mixta) y de la propia Corporación municipal en la que desarrolla su actividad. La Ley Orgánica 15/1999 define en su artículo 3 d) del responsable del fichero como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Este concepto se ve aclarado por lo dispuesto en el artículo 5.1 q) del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 54 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

Reglamento de desarrollo de la Ley Orgánica, aprobado por Real decreto 1720/2007, de 21 de diciembre, que señala en su párrafo segundo que “podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados”. Aplicando lo que acaba de indicarse al presente supuesto, es obvio que la decisión sobre la finalidad, contenido y uso de los datos objeto de tratamiento como consecuencia de la creación de la Oficina de Derechos Sociales del Grupo Municipal al que pertenece la consultante corresponde única y exclusivamente al citado Grupo Municipal, que aún no ostentando personalidad jurídica puede, conforme a lo dispuesto en el citado artículo 5.1 q) del Reglamento de desarrollo de la Ley Orgánica 15/1999, tener la condición de responsable del tratamiento a los efectos previstos en la citada Ley Orgánica. Por tanto, el responsable del fichero será el propio Grupo Municipal, quedando el fichero sujeto a lo dispuesto en la Ley Orgánica 15/1999. La segunda cuestión a resolver es la relativa a la naturaleza del fichero, a efectos de determinar si el mismo ha de ser considerado como de titularidad pública o privada. Los apartados l) y m) del artículo 5.1 del reglamento de desarrollo de la Ley Orgánica 15/1999 establecen los conceptos de ambas categorías de ficheros, disponiendo que: - Son ficheros de titularidad pública “los ficheros de los que sean responsables los Órganos constitucionales o con relevancia constitucional del Estado o las Instituciones

Autonómicas

con

funciones

análogas

a

los

mismos,

las

Administraciones Públicas Territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público”. - Por su parte, son ficheros de titularidad privada “los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 55 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las Corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica”. Como se ha señalado a lo largo del presente informe, los Grupos municipales han de ser considerados como entidades sin personalidad jurídica propia, no integrados en la estructura municipal e independientes de las formaciones políticas. En consecuencia, dado que los Grupos no pueden ser consideradas entidades vinculadas o dependientes de las entidades locales, no sería posible considerar sus ficheros como de titularidad pública, debiendo entenderse aplicables a los mismos el régimen propio de los ficheros de titularidad privada. Por este motivo, no será aplicable a los Grupos lo dispuesto en el artículo 20 de la Ley Orgánica 15/1999 ni lo previsto en el Capítulo I del Título V de su Reglamento de desarrollo, debiendo, por otra parte, cumplirse lo establecido en el artículo 55.2 del citado reglamento, conforme al cual “los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos”. Pare ello, los dos primeros apartados del artículo 59 disponen que: “1. La Agencia Española de Protección de Datos publicará mediante la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 56 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

correspondiente Resolución del Director los modelos o formularios electrónicos de notificación de creación, modificación o supresión de ficheros, que permitan su presentación a través de medios telemáticos o en soporte papel, así como , previa consulta de las autoridades de protección de datos de las Comunidades Autónomas, los formatos para la comunicación telemática de ficheros públicos por las autoridades de control autonómicas, de conformidad con lo establecido en los artículos 55 y 58 del presente Reglamento. 2. Los modelos o formularios electrónicos de notificación se podrán obtener gratuitamente en la página web de la Agencia Española de Protección de Datos.” De todo lo indicado se desprende que el Grupo Municipal sería el responsable del fichero al que se refiere la consulta, que deberá ser considerado como fichero de titularidad privada y notificado para su inscripción en el Registro General de Protección de Datos conforme a lo dispuesto en el artículo 55.2 del Reglamento de desarrollo de la Ley Orgánica 15/1999.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 57 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

NATURALEZA PÚBLICA O PRIVADA DE LOS FICHEROS DE UNA SOCIEDAD MUNICIPAL. INFORME 0191/2005 La consulta plantea la naturaleza, pública o privada, que habrá de darse a algunos de los ficheros con datos de carácter personal de la consultante, conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, teniendo en cuenta que la misma es una entidad de naturaleza mercantil, participada íntegramente por una Entidad Local. Si bien la Ley Orgánica 15/1999 delimita en su articulado el régimen de los ficheros de titularidad pública y privada, no establece un concepto de los mismos. Por esta razón, la delimitación deberá fundarse en los criterios que determinan la naturaleza jurídico-pública o jurídico-privada del responsable del fichero. Esta conclusión se alcanza atendiendo a las peculiaridades establecidas para el régimen de los ficheros de titularidad pública, toda vez que los mismos únicamente podrían ser constituidos en caso de que se desarrollen como consecuencia del ejercicio de una competencia administrativa, tal y como se desprende del artículo 21.1 de la Ley Orgánica 15/1999, que permite la cesión entre Administraciones Públicas cuando la misma se funde en el ejercicio de unas mismas competencias. En este mismo sentido, el artículo 20 de la Ley exige que los ficheros se encuentren sometidos a la tutela de una Administración con potestad para dictar la correspondiente Disposición de carácter general de creación del fichero. Por tanto, considera esta Agencia Española de Protección de Datos que la delimitación del régimen aplicable a los ficheros de titularidad pública y privada deberá fundarse en la naturaleza de Administración Pública territorial de la responsable del tratamiento y, en los restantes supuestos, en el hecho de que el fichero haya sido creado con la finalidad de garantizar el ejercicio de potestades de derecho público. En el supuesto planteado en la consulta, la entidad consultante tiene expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 58 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

naturaleza mercantil, no siendo aplicables a la misma las normas contenidas en la Ley de Contratos de las Administraciones Públicas (salvo en lo referente al régimen de arrendamientos de servicios, según expone la consultante), no quedando sometido su personal al régimen de los funcionarios públicos al no ser de aplicación a las mismas lo establecido en la Ley 30/1984, ni siendo susceptibles sus actos de recurso contencioso-administrativo, ni tan siquiera de reclamación previa al ejercicio de acciones civiles o laborales, ni gozando sus actos de la ejecutividad reconocida para los actos de la Administración Pública. Del mismo modo, los presupuestos de la Administración Pública titular del accionariado de las Sociedades Mercantiles Públicas únicamente recogerán los programas de actuación inversiones y financiación de dichas entidades, estableciéndose en los tres supuestos únicamente su estimación y previsión de gastos e ingresos, así como sus estados financieros. A la vista de todo ello, cabe concluir que las entidades mercantiles de cuyas acciones sea titular una Administración Pública habrán de considerarse excluidas del concepto de Administración Pública a efectos de la aplicación de las normas de derecho administrativo, por lo que sus ficheros deberán considerarse, a los efectos previstos en la Ley Orgánica 15/1999 como de titularidad privada. Ello no obstante, a los efectos pretendidos de notificación e inscripción de la existencia de determinados ficheros, podría considerarse la existencia de la gestión de servicios municipales por parte de dicha consultante, siendo la propiedad del servicio competencia del Ayuntamiento. Para dicha hipótesis, puede partirse del esquema, según el cual el Ayuntamiento tuviera suscritos contratos de gestión de servicios municipales con la entidad de Derecho Privado consultante, actuando ésta por cuenta de la Corporación, en relación con las funciones, competencias y cometidos a los que se refieren los tratamientos de datos realizados a partir de los mencionados ficheros. Si ello fuere así, nos encontraríamos, a nuestro juicio, ante un supuesto de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 59 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

tratamiento de datos de carácter personal por cuenta del Ayuntamiento, en virtud de un contrato en el que deberían indicarse las circunstancias del mismo, siempre y cuando los datos personales objeto de tratamiento no se dedicaran a ninguna otra finalidad que la establecida en el contrato, siendo la entidad consultante una mera encargada del tratamiento, definida en el artículo 3 g) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. En consecuencia, para dicho supuesto, sería el Ayuntamiento quién ostentaría en este caso la condición de responsable del fichero definido en el artículo 3 d) de la Ley Orgánica 15/99, como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”, siendo por tanto el obligado a solicitar su inscripción en el Registro General de Protección de Datos. Dicho esto, el régimen jurídico de la actividad del encargado del tratamiento aplicable a la empresa consultante será el contenido en el artículo 12 de la Ley Orgánica, cuyo apartado primero establece que “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”. En resumen, siguiendo en esta misma línea argumental, siendo la titularidad y responsabilidad del servicio de la Corporación Municipal, la entidad consultante, que vendría desarrollando las funciones anteriormente descritas (en virtud del correspondiente Acuerdo, Instrumento y/o Contrato administrativo de gestión de servicios públicos), ostentaría la condición de encargada del tratamiento, definida por el artículo 3 g) de la Ley Orgánica 15/1999, siendo responsable del tratamiento el propio Ayuntamiento, toda vez que, conforme a lo dispuesto en el artículo 3 d) de la Ley Orgánica 15/1999 es quien “tiene el poder de disposición sobre “la finalidad, contenido y uso del tratamiento”. En este sentido, la empresa municipal consultante se encargaría de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 60 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

gestión de los servicios en calidad de encargada del tratamiento para la prestación de un servicio al responsable del tratamiento, en este caso, al Ayuntamiento. Dicho lo anterior, y siempre en atención a la hipótesis sugerida, es necesario hacer constar que la relación jurídica entre el Ayuntamiento y la empresa prestataria del servicio deberá ajustarse a las obligaciones que la Ley Orgánica impone, resumidas de la siguiente forma: “En lo que atañe a los requisitos formales, el artículo 12.2 impone que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”. Por lo que respecta al periodo de conservación de los datos, el artículo 12.3 establece que “una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”. En lo referente a la cesión de los datos, de lo establecido en el artículo 12.2 se desprende que no procederá esa cesión, de forma que los datos habrán de ser entregados única y exclusivamente al responsable del fichero. La Agencia Española de Protección de Datos ha considerado que será posible la subcontratación de estos servicios siempre y cuando se especifiquen los siguientes requisitos acumulativos, que deberán figurar en el contrato: a) Que los servicios a subcontratar se hayan previsto expresamente en la oferta o en el contrato celebrado entre el responsable del fichero y el encargado del tratamiento.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 61 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

b) Que el contenido concreto del servicio subcontratado y la empresa subcontratista conste en la oferta o en el contrato. c) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. En cuanto a las medidas de seguridad que hayan de ser adoptadas por quienes realicen trabajos de tratamiento de datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero, tal y como se desprende de lo previsto en los artículos 9 y 12.2 de la Ley Orgánica. Por último, según el artículo 12.4, “en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”, siendo, en consecuencia, de aplicación el régimen sancionador establecido en los artículos 43 y siguientes de la Ley Orgánica, sujetando el primero de ellos al encargado del tratamiento a dicho régimen.”

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 62 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

CÁMARAS DE VIDEOVIGILANCIA EN LOS AYUNTAMIENTOS INFORME JURÍDICO 0116/2008 La consulta presenta si la instalación de cámaras de video para vigilar las instalaciones

de

titularidad

municipal,

requieren

de

una

autorización

administrativa previa. En primer lugar es preciso señalar que la Agencia Española de Protección de Datos, carece de competencias para aprobar la instalación de sistemas de cámaras y videocámaras, dado que dicha facultad corresponde al Ministerio del Interior. La Agencia sólo puede entrar a valorar que el tratamiento que de las imágenes como dato personal se realice, al amparo de la Ley Orgánica 15/1999, y la Instrucción 1/2006, de 8 de noviembre de 2006, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. En segundo lugar la instalación de cámaras en espacios públicos, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado, por aplicación de la Ley Orgánica 4/1997, y por ello queda excluido del ámbito de la Instrucción 1/2006 así lo determina el artículo 1 apartado segundo de la misma “El tratamiento de los datos personales procedentes de las imágenes obtenidas mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad se regirá por las disposiciones sobre la materia.” En consecuencia, sí las cámaras graban la vía pública deberá de dirigirse a la Delegación del Gobierno a los efectos de obtener autorización para la instalación de las mismas. Por el contrario, de instalarse las cámaras en las entradas al edificio, grabando el acceso, la instalación de las mismas no quedará sometida a la Ley Orgánica 4/1997, salvo que las cámaras las instale las Fuerzas y Cuerpos de Seguridad. No obstante podemos informar de los requisitos que considera necesarios expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 63 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

esta Agencia para adecuar el tratamiento de las imágenes tanto a la Ley Orgánica 15/1999, como a la Instrucción 1/2006. En cuanto a la legitimación para el tratamiento de las imágenes el artículo 2 de la Instrucción se remite a lo dispuesto en el artículo 6.1 y 2 de la Ley Orgánica de Protección de Datos, donde se establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Por tanto, dado que en materia de videovigilancia resulta imposible obtener el consentimiento de las personas cuyas imágenes capten las cámaras es preciso conocer qué ley puede habilitar el tratamiento. Respecto a la legitimación en el tratamiento de las imágenes se ha pronunciado la Agencia en informe de fecha 5 de febrero de 2007 señalando que: “No obstante, si la cuestión planteada se refiere a la legitimación en el tratamiento, la respuesta a la misma se encuentra en el artículo 2 de la Instrucción que establece que “1.- Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. 2.- Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras y videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia.” El mencionado artículo debe de conectarse con lo dispuesto en la Ley 23/1992, de 30 de julio, de Seguridad Privada ( en adelante LSP), que regula, según su artículo 1.1 “la prestación por personas, físicas o jurídicas, privadas de servicio de vigilancia y seguridad de personas o de bienes, que tendrán la consideración de actividades complementarias y subordinadas respecto a las de seguridad pública”. Asimismo, añade el artículo 1.2 que “A los efectos de la presente Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 64 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”,(..). El artículo 5.1 e) de la LSP dispone que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre ( en adelante RSP) De este modo, la Ley habilitaría que los sujetos previstos en su ámbito de aplicación puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1. Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 dispone que “Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios”. El artículo 20 del RSP regula el procedimiento de notificación del contrato, la autoridad competente y el régimen aplicable a la contratación del servicio por las Administraciones Públicas y a supuestos excepcionales que exijan la inmediata puesta en funcionamiento del servicio. Por último, el artículo 7.1 establece que “Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior”. La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 65 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que “únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas”. En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación. De este modo, quedaría legitimado por la existencia de una norma con rango de Ley habilitante el tratamiento al que se refiere el apartado 2 de los citados con anterioridad, siempre que se cumplan los requisitos a los que se ha hecho referencia o concurra una de las excepciones previstas en el RSP, no siendo necesario el consentimiento del afectado” De este modo, la consultante deberá contratar con una empresa de seguridad que haya cumplido los requisitos antes expuestos, para que el tratamiento de las imágenes quedará legitimado, por la existencia de una norma con rango de Ley habilitante, no siendo por tanto necesario el consentimiento del afectado. Una vez que las cámaras hayan sido instaladas correctamente, deberá distinguirse si la cámara graba o no las imágenes. En el supuesto de hecho planteado en la consulta, se deduce que se procederá a grabar las imágenes, por lo que deberá de notificarse e inscribir el fichero en el Registro General de Protección de Datos de conformidad con lo dispuesto en el artículo 7 de la Instrucción 1/2006, que reza lo siguiente “1.-La persona o entidad que prevea la creación de ficheros de videovigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma.(...) 2.-A estos efectos, no se considerará fichero el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 66 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.” Por último, es necesario indicar, que el tratamiento de las imágenes por parte del responsable del tratamiento (en el supuesto de la consulta, el Ayuntamiento), le obliga a cumplir con el deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica que dispone, “los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”. En cuanto al modo en que haya de facilitarse dicha información, debe tenerse en cuenta el artículo 3 de la Instrucción 1/2006 cuando establece que “Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán: a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999. El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción.” Así

mismo,

deberán

respetarse

los

plazos

y

procedimiento

de

almacenamiento de imágenes, resultando de aplicación, el artículo 6 de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 67 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Española de Protección de Datos.

mencionada Instrucción en la que se prevé que “los datos serán cancelados en el plazo máximo de un mes desde su captación”, dado que en la consulta se señala que se cancelarán en un plazo de quince días, resulta conforme con el criterio fijado en el artículo 6 antes transcrito.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 68 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

AJUSTE DE ACTAS Y DECRETOS DE UN AYUNTAMIENTO A NORMATIVA DE PROTECCIÓN DE DATOS INFORME JURÍDICO QUE SE EMITE EN RELACIÓN A LA CONSULTA REALIZADA POR … SOBRE “SI LAS ACTUACIONES DEL AYUNTAMIENTO DE SALVATIERRA EN BASE A LOS DOCUMENTOS QUE LES ADJUNTO SON O NO CONFORME A DERECHO” CN06-006 ANTECEDENTES Con fecha 13 de febrero de 2006 tiene entrada en esta Agencia Vasca de Protección de Datos, escrito del… en el que se eleva consulta en relación al asunto más arriba referenciado. Con el escrito de remisión de la consulta se adjunta diferente documentación consistente básicamente en: El Acta de la Comisión de Urbanismo del Ayuntamiento de Salvatierra nº 11 celebrada el día 20 de noviembre de 2003. El Acta de la Comisión de Urbanismo del Ayuntamiento de Salvatierra nº 12 celebrada el día 18 de noviembre de 2004 Decretos de Alcaldía de diferentes fechas en los que se resuelve autorizar a las personas que en ellos constan el acceso a diferentes lugares con vehículos con el traslado de la correspondiente tarjeta numerada que habilita para el acceso . El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 69 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Corresponde a esta Agencia Vasca de Protección de datos en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Dada la generalidad con la que se plantea la consulta y examinada la documentación que se adjunta y, en especial, los resaltados que en ella se contienen cabe deducir que son dos los tipos de cuestiones que preocupan a la consultante. Por una parte, derivada de las actas de la comisión de urbanismo números 11 y 12, celebradas los días 20 de noviembre de 2003 y 18 de noviembre de 2004 respectivamente, cabe deducir que la consulta gira en torno al “listado definitivo de adjudicatarios con su orden de elección de vivienda y listado de reservas resultado de la aplicación del Baremo y de los desempates efectuados en sorteo celebrado el día 13 de noviembre ante el notario D. para la adjudicación de viviendas de protección oficial en el Sector E-1 remitido por Harresi Parkea”, y “listado remitido por Harresi Parkea obtenido tras el sorteo efectuado el día 29 de octubre de 2004 ante el Notario D. y que establece un orden de lección para ser adjudicatario de una vivienda de protección oficial en la 1ª fase (parcelas M3 y M4.1) del Sector Este-1” de una parte, y de otra la adopción “como propuesta de acuerdo remitir dichos listados a la empresa Bildo-4, adjudicataria de los terrenos enajenados en Senda de Langarica para su utilización en la adjudicación de las 24 viviendas de protección oficial a construir en la parcela I2 del citado polígono”. En relación a los listados, debe comenzarse trayendo aquí lo dispuesto en el Reglamento Interno del Ayuntamiento de Agurain, aprobado en la sesión ordinaria celebrada el día 29 de septiembre de 1999 (sin que conozca esta Agencia la existencia de un Reglamento definitivo posterior ni lo ocurrido en el RCA 3167/03-1 que se sigue ante la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco, contra el acuerdo de aprobación expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 70 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

inicial del Reglamento Interno). En cualquier caso, de acuerdo con el dicho reglamento de 29 de septiembre de 1999, cabe destacar que su artículo 5 establece expresamente que: “Las comisiones informativas se limitarán a estudiar y preparar los asuntos que posteriormente serán objeto de resolución por el Pleno o por la Comisión de Gobierno cuando resuelve en base a las atribuciones delegadas por el Pleno, por lo que emitirán informes y dictámenes sobre las materias propias de cada comisión que adoptará la forma de propuesta de acuerdo” Por su parte, el artículo 6 de dicho reglamento, expresa que: “Los dictámenes de las Comisiones informativas tienen carácter preceptivo y no vinculante. De todas las reuniones que se celebren por las comisiones se levantará acta por el Secretario/a del Ayuntamiento que será entregada a cada grupo político integrante de la comisión al hacerse entrega de la convocatoria de la comisión siguiente.” Por último el artículo 9 del mismo, establece que con carácter general: “Las comisiones informativas no son públicas” Debe decirse en primer lugar que, teniendo en cuenta las fechas en que se celebran dichas comisiones informativas y sin conocimiento exacto de cual ha sido

la

finalización

del

procedimiento,

difícilmente

puede

hacerse

un

pronunciamiento preciso al respecto. De acuerdo con la información de la que se ha dado traslado a esta Agencia y atendiendo a la naturaleza que de las propuestas que elaboran dichas comisiones informativas y de dichas actas se derivan de las previsiones citadas más arriba, no es posible apreciar desde la perspectiva del régimen jurídico de la protección de datos de carácter general ninguna infracción a dicho régimen jurídico. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 71 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

En cualquier caso, intentando dar respuesta en la medida de lo posible a la consulta planteada y adoptando como hipótesis de trabajo el hecho de que dichas propuestas hayan sido tratadas y aprobadas por el Pleno del Ayuntamiento y hayan sido publicadas las listas a las que se hace referencia (publicación que no ha sido localizada en el BOTHA, pero que bien pudiera haberse producido a través, por ejemplo, del Tablón de Anuncios del Ayuntamiento) tampoco observaría esta Agencia Vasca de Protección de Datos vulneración a la normativa de protección de datos de carácter personal. Basamos la anterior conclusión (que revestimos con las necesarias cautelas derivadas de la falta de información precisa a las que ya hemos hecho referencia) en el hecho de que siendo los procesos de adjudicación de viviendas de

protección

oficial

procedimientos

de

concurrencia

competitiva

la

concurrencia y el conocimiento público de lo que en él acontezca resulta condición necesaria del efectivo cumplimiento de un elemental principio de transparencia. Con carácter general la adquisición de viviendas de protección oficial deberá realizarse a través del procedimiento que se establezca la convocatoria correspondiente. Debiendo dicho procedimiento proveer un sistema de adjudicación que garantice, en lo que ahora nos puede interesar, el principio de publicidad, concurrencia pública y transparencia. Lógicamente, dicha garantía se hace efectiva a través de la publicación, no solo de la lista de adjudicatarios, que sería el acto administrativo que pone fin al procedimiento, sino de aquellos actos de inicio o de instrucción del procedimiento que también deban ser objeto de publicación (por ejemplo lista de admitidos y excluidos al procedimiento). Todo ello, en absoluto se opone al régimen de protección de datos de carácter personal. Precisamente el artículo 59.5 b) de la Ley 30/1992, de 26 de noviembre, de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 72 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común establece que la práctica de la notificación del acto administrativo, cuando se trate de actos integrantes de un procedimiento selectivo o de concurrencia competitiva de cualquier tipo, se realizará mediante la publicación del acto. En este caso, las bases de la convocatoria del procedimiento deberán indicar el tablón de anuncios o medio de comunicación donde se vayan a realizar las sucesivas publicaciones, careciendo de validez las que se lleven a efecto en lugares distintos. Desde la perspectiva de protección de datos de carácter personal, además del hecho de que las propias bases que regulan el proceso contemplen la posibilidad de publicación de los actos que en el mismo se dicten, existe una Ley que con carácter general da cobertura a dicha práctica. Es más, obsérvese que para el, también, hipotético caso de que dichas publicaciones no se hubieren llevado a cabo, sería posible que se produjera alguna infracción del ordenamiento jurídico, pero no desde luego de la protección de datos, porque precisamente la conducta consistiría en no dar a conocer dichos datos. II En relación con la propuesta de acuerdo de “remitir dichos listados a la empresa Bildo-4, adjudicataria de los terrenos enajenados en Senda de Langarica para su utilización en la adjudicación de las 24 viviendas de protección oficial a construir en la parcela I2 del citado polígono”, ocurre algo similar a lo relatado más arriba en relación con la naturaleza del acuerdo adoptado, que no es sino una propuesta, y el desconocimiento de esta Agencia, en este caso, respecto a la concreta relación existente entre la Sociedad Bildo-4, el propio Ayuntamiento y/o la Sociedad Lur-Lautada, XXI, S.A, cuyo acuerdo de constitución, publicado en el BOTHA nº 143, de 14 de diciembre de 2001, y en su memoria justificativa hace referencia precisamente al desarrollo de la zona Este, cuyo proyecto de urbanización, de acuerdo con lo publicado en el BOTHA nº 64, de 4 de junio, ha promovido dicha Sociedad Urbanística.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 73 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Así las cosas, como puede fácilmente comprenderse resulta muy arriesgado pronunciarse de un modo preciso sobre dicha prevista operación de “remisión”, porque en realidad ni siquiera puede llegarse a concluir con el mínimo grado de rigor exigible a esta Agencia, que se trate de una verdadera comunicación de datos de carácter personal, pues bien podría, por ejemplo, existir un tratamiento por cuenta de terceros, previsto en el artículo 12 de la LOPD, o, para el caso de que existiera una comunicación, bien podría venir amparada por lo previsto en el artículo 11.2 c) de la misma. III Respecto a la cuestión planteada en relación a los diversos Decretos de Alcaldía que se adjuntan y en los que se resuelve sobre autorizaciones de accesos para diversos vehículos a determinadas zonas del municipio, los mismos parecen ser adoptados en aplicación de la Ordenanza reguladora del control de accesos del municipio de Agurain, cuya aprobación definitiva se produjo en sesión plenaria de 30 de mayo de 2005 (BOTHA nº 115, de 14 de octubre). Ni del procedimiento que se regula en dicha Ordenanza ni de la documentación que se aporta con la consulta cabe desprender que dichos Decretos (que nada establecen expresamente respecto a su notificación o publicación) hayan sido comunicados a terceros diferentes de los propios interesados. Ignoramos el motivo por el que se encuentran en posesión de la consultante, sin que sea irrazonable pensar que sea el cargo que ostenta el que le da acceso a dicha información. Por último, para el caso de que se hayan comunicado dichos Decretos a terceros diferentes de los interesados o hayan sido objeto de publicación, carecemos de elementos suficientes para valorar la necesidad de dicha hipotética publicación o comunicación. CONCLUSIÓN

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 74 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

En los términos contenidos en el cuerpo del presente dictamen, de la documentación aportada no se desprende vulneración del régimen jurídico de protección de datos de carácter personal.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 75 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

CESIÓN DE DATOS DE UN AYUNTAMIENTO A UNA DE SUS JUNTAS ADMINISTRATIVAS INFORME JURÍDICO QUE SE EMITE EN RELACIÓN A LA CONSULTA REALIZADA POR … DEL AYUNTAMIENTO DE SAN MILLÁN SOBRE SI EL AYUNTAMIETNO DEBE ACCEDER A LO SOLICITADO POR PARTE DE LA JUNTA ADMINISTRATIVA DE ULLIBARRI-JAUREGI CN06-12 Con fecha 15 de marzo 2006 tiene entrada en esta Agencia Vasca de Protección de Datos, escrito de… Ayuntamiento de San Millán en la que se eleva consulta en relación al asunto más arriba referenciado. En el escrito de remisión de la consulta se expresa que: “Por la Junta Administrativa de Ullibarri-Jauregi perteneciente a este Municipio se solicitó a esta Ayuntamiento el Padrón Municipal de Habitantes de esa localidad, tanto de mayores de edad como de menores de edad, al objeto de realizar el Padrón Concejil y dado que en Bienestar Social les solicitan el censo de niños, resolviéndose por parte de esta Ayuntamiento según documentos nº 2 y 3” “Por escrito de fecha 28 de febrero de 2006 se reitera la solicitud de datos del Padrón Municipal referidos a los menores de edad de dicha localidad” Se aporta con la consulta diferente documentación. El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 76 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Corresponde a esta Agencia Vasca de Protección de datos en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Debe iniciarse por realizar un análisis, siquiera se de forma somera y en los aspectos que puedan resultar ahora de interés, del régimen jurídico al que se encuentra sometido el Ente que solicita los datos al Ayuntamiento que ahora plantea la consulta, porque, a nuestro juicio, su naturaleza y funciones determinarán en gran medida la respuesta que se deba ofrecer. Así dicho régimen jurídico se encuentra básicamente contemplado en la Norma Foral 11/1995, de 20 de marzo, de Concejos del Territorio Histórico de Álava, y de la cual interesa destacar los siguientes aspectos: En primer lugar y en cuanto a la propia definición, el propio artículo de dicha Norma Foral, entiende por tal: “… un cauce tradicional inmediato de participación ciudadana goza de plena autonomía para la gestión de sus intereses y los de las correspondientes colectividades que les sirven de base a través del desarrollo de sus competencias propias” En cuanto a su naturaleza el propio artículo 1 determina que: “El Concejo es una entidad local de carácter territorial que, con propia personalidad jurídica y capacidad de obrar, ejerce su jurisdicción en una demarcación territorial de menor extensión que la constituida por el término municipal” De acuerdo con dicha naturaleza, los elementos del Concejo son el territorio, la población y la organización, constituyéndose la población por vecinos y moradores. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 77 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

El artículo 3 de la Norma establece que: “Los vecinos que residan de manera habitual en el Concejo durante al menos siete meses al año, manteniendo casa abierta, serán inscritos en el Padrón Concejil” Y respecto a éste el apartado 3º de dicho artículo establece que: “La Diputación Foral de Álava regulará la estructura, actualización y contenido mínimo de los correspondientes Padrones Concejiles, los cuales, elaborados por los Concejos con la colaboración de los Ayuntamientos respectivos, sirvan a los efectos administrativos pertinentes y de aprovechamiento de bienes” Regulación que se ha llevado a cabo a través del Decreto Foral 115/1995, de 28 de noviembre por el que se aprueba el Reglamento regulador de la estructura, actualización y contenido mínimo del Padrón Concejil (BOTHA nº 145, de 13 de diciembre), al que más abajo se hará referencia. II Conviene por otra parte tener a la vista, también en lo que puede interesar, el régimen jurídico al que se encuentra sometido el padrón municipal y que se contiene en los artículos 15, 16 y 17 de la Ley de Bases de Régimen Local, en la redacción dada por las Leyes 4/1996, de 10 de enero, de modificación de la LBRL en esta materia y en la Ley Orgánica 14/2003, de 20 de noviembre de Extranjería, de acuerdo con el cual: Artículo 15 “Toda persona que viva en España está obligada a inscribirse en el Padrón del municipio en el que resida habitualmente. Quien viva en varios municipios deberá inscribirse únicamente en el que habite durante más tiempo al año. El conjunto de personas inscritas en el Padrón municipal constituye la población del municipio. Los inscritos en el Padrón municipal son los vecinos del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 78 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

municipio. La condición de vecino se adquiere en el mismo momento de su inscripción en el Padrón”. Artículo 16. “1. El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos. (Los párrafos segundo y tercero de este apartado 1, han sido introducidos por la LO 14/2003, de extranjería) La inscripción en el Padrón Municipal sólo surtirá efecto de conformidad con lo dispuesto en el artículo 15 de esta Ley por el tiempo que subsista el hecho que la motivó y, en todo caso, deberá ser objeto de renovación periódica cada dos años cuando se trate de la inscripción de extranjeros no comunitarios sin autorización de residencia permanente. El transcurso del plazo señalado en el párrafo anterior será causa para acordar la caducidad de las inscripciones que deban ser objeto de renovación periódica, siempre que el interesado no hubiese procedido a tal renovación. En este caso, la caducidad podrá declararse sin necesidad de audiencia previa del interesado. 2. La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes datos: a) Nombre y apellidos. b) Sexo. c) Domicilio habitual. d) Nacionalidad. e) Lugar y fecha de nacimiento. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 79 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

f) Número de documento nacional de identidad o tratándose de extranjeros: Número de la tarjeta de residencia en vigor, expedida por las autoridades españolas o, en su defecto, número del documento acreditativo de la identidad o del pasaporte en vigor expedido por las autoridades del país de procedencia, tratándose de ciudadanos nacionales de estados miembros de la Unión Europea, de otros Estados parte en el Acuerdo sobre el Espacio Económico Europeo o de Estados a los que, en virtud de un convenio internacional se extienda el régimen jurídico previsto para los ciudadanos de los Estados mencionados. Número de identificación de extranjero que conste en documento, en vigor, expedido por las autoridades españolas o, en su defecto, por no ser titulares de éstos, el número del pasaporte en vigor expedido por las autoridades del país de procedencia, tratándose de ciudadanos nacionales de Estados no comprendidos en el inciso anterior de este párrafo g) Certificado o título escolar o académico que se posea. (Este apartado f ha sido introducido por la LO 14/2003, Extranjería) g) Certificado o título escolar o académico que se posea h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral, siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución. 3. Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para

el ejercicio de sus respectivas competencias, y

exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia (Redacción dada por la LO 4/2003). Artículo 17. 1. La formación, mantenimiento, revisión y custodia del Padrón municipal expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 80 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

corresponde al Ayuntamiento, de acuerdo con lo que establezca la legislación del Estado. Con este fin, los distintos organismos de la Administración General del Estado, competentes por razón de la materia, remitirán periódicamente a cada Ayuntamiento información sobre las variaciones de los datos de sus vecinos que con carácter obligatorio deben figurar en el Padrón municipal, en la forma que se establezca reglamentariamente. La gestión del Padrón municipal se llevará por los Ayuntamientos con medios informáticos. Las Diputaciones Provinciales, Cabildos y Consejos insulares asumirán la gestión informatizada de los Padrones de los municipios que, por su insuficiente capacidad económica y de gestión, no puedan mantener los datos de forma automatizada.” Dicha norma encuentra su desarrollo directo a través del Real Decreto 2612/1996, de 20 de diciembre, por el que se modifica el Reglamento de Población y Demarcación Territorial al que más abajo se hará referencia expresa. III Es a la vista de la anterior normativa, se debe intentar dar una respuesta a la pregunta formulada. No obstante, en el intento de ofrecer una respuesta que se aproxime lo más posible a las necesidades tanto de la consultante, como en este caso del Concejo de Ullibarri-Jauregi, se debe manifestar que parece desprenderse de la documentación aportada, y en especial de la última misiva enviada por dicho Concejo al Ayuntamiento y fechada el día 28 de febrero de 2006, que los datos padronales relativos a los mayores de edad han sido remitidos al Concejo, no así los datos padronales de los menores de edad, sino sólo una “relación numérica de los niños de esa localidad”. Dicho intento por lo tanto exige, creemos, dar respuesta a una doble cuestión: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 81 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Por una parte, si la comunicación de datos padronales ya producida se ajusta a la normativa sobre protección de datos de carácter personal. Por otra, si es posible proceder a la comunicación de datos padronales respecto a los menores de edad. En relación a la primera cuestión, a juicio de esta Agencia, teniendo en cuenta que el Concejo es una administración pública, que el artículo 3.3 de la Norma Foral, establece que los padrones concejiles, serán “elaborados por los Concejos”, que el desarrollo de dicha elaboración se encuentra contemplado en el artículo 5 del Decreto Foral 115/1995 y que el propio artículo 3.3 (además de lo establecido con carácter general en el artículo 45 de la Norma Foral 11/1995) prevé expresamente “la colaboración de los Ayuntamientos respectivos” en la elaboración de dichos Padrones Concejiles, la comunicación de los datos llevada a cabo, se ajusta a lo establecido en el artículo 16.3 de la Ley de Bases de Régimen Local. Esto es, la comunicación de datos lo ha sido a “otra administración”, lo ha sido para el “ejercicio de las respectivas competencias”, en cuanto es de competencia del propio Concejo la elaboración del Padrón Concejil, y del Ayuntamiento la de “colaborar” en dicha elaboración, y lo ha sido, por último, para un asunto en le que la residencia o domicilio es “determinante”, en cuanto el dato de figurar empadronado en el término concejil es el fundamental para la elaboración del Padrón Concejil. En relación a la segunda cuestión, también a juicio de esta Agencia, la cobertura legal con la que cuenta la comunicación relativa a los datos padronales de los mayores de edad abarca también a la comunicación de los mismos datos respecto a los menores de edad. La cautelosa actuación del Ayuntamiento, muy respetuosa con la protección de datos de carácter personal y con el literal de la Norma Foral 11/1995, y sobre todo con los artículos 1 (párrafo 2º) y 5 del Decreto Foral 115/1995, y que pudiera tener base, a nuestro juicio, en la redacción anterior de la Ley de Bases de Régimen Local, pierde, también a nuestro juicio, dicha base expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 82 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

tras la modificación de dicha Ley de Bases 7/1985. Ello, junto con la fecha de la Norma Foral, anterior también a la redacción dada por la Ley 4/1996, tal vez pudiera justificar un régimen jurídico diferente en la comunicación de datos de carácter personal respecto a los menores, y ello, por cuanto en dicha redacción anterior, el artículo 15 de la Ley de Bases diferenciaba entre vecinos y domiciliados, considerando a los menores domiciliados. Así se deducía de los apartados 2 y 3 del anterior artículo 16, a cuyo tenor: 2. Son vecinos los españoles mayores de edad que residan habitualmente en el término municipal y figuren inscritos con tal carácter en el Padrón. 3. Son domiciliados los españoles menores de edad y los extranjeros residentes habitualmente en el término municipal y que como tales figuren inscritos en el Padrón municipal. El artículo 2 de la Norma Foral diferenciaba entre vecinos y moradores y el artículo 1, párrafo 2º, en lógica correspondencia con la regulación estatal entonces vigente, incluía dentro del concepto de vecino sólo a las personas “mayores de edad” y el artículo 5 del Decreto 115/1995 establecía que el Ayuntamiento facilitaría una relación certificada comprensiva de los vecinos que figuraban como empadronados en los núcleos de población pertenecientes, en el bien entendido que el término vecino, debiera serlo en los términos del citado artículo 1 párrafo 2º. También en forma consecuente con lo expresado, el artículo 7 establecía como causa de alta el hecho de que “el residente” alcance la edad de 18 años. Dicha distinción, tras la Ley 4/1996 se elimina. Se elimina además de manera completamente consciente como se deriva de la Exposición de Motivos, de acuerdo con el cual “Por otra parte, se elimina la distinción entre vecino y domiciliado que se establecía por ser diferentes los derechos y deberes de los mismos. Sin embargo, la diferencia entre ambos conceptos era más ficticia que real, pues los derechos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 83 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

y deberes que se les reconocían estaban condicionados a las leyes específicas que los desarrollaban.” El actual artículo 15 de la Ley de Bases se refiere a ”toda persona que viva en España”, y si bien es cierto que el artículo 54.2 del Real Decreto 2612/1996, de 20 de diciembre, por el que se modifica el Reglamento de Población y Demarcación Territorial hace una consideración expresa a los menores de edad, dicha consideración no hace variar su condición de vecino, en cuanto establece: “2. Los menores de edad no emancipados y los mayores incapacitados tendrán la misma vecindad que los padres que tengan su guarda o custodia o, en su defecto, de sus representantes legales, salvo autorización por escrito de éstos para residir en otro municipio. En todo caso, respecto a los mayores incapacitados se estará a lo dispuesto en la legislación civil.” Todo ello, lleva a esta Agencia a considerar que no existe motivo alguno para proceder a realizar una diferenciación entre mayores y menores de edad a efectos de considerarles “vecinos”, ya sea del municipio, del concejo, o de los dos. Ni siquiera la singularidad y relevancia de los Concejos dentro del Régimen Local propio que podría corresponder al Territorio Histórico de Álava (que tal vez sí justificaría la diferencia entre vecino y morador, sin que en cualquier caso, sea esta Agencia la competente para pronunciarse sobre dicha cuestión) sería motivo suficiente para diferenciar entre mayores y menores de edad a efectos de su consideración como “vecinos”. Es lo que, por otra parte, cabe deducir también de la Exposición de Motivos de la Norma Foral 11/1995 que pretende “sobre todo, unas reglas comunes acomodadas a las exigencias constitucionales y que ofrezcan la debida seguridad jurídica de la población del Concejo” Consecuentemente con lo que se lleva dicho, no se observa, desde la estricta perspectiva de protección de datos de carácter personal, impedimento alguno para que dentro de la “relación de vecinos” consten los menores de edad cuya guardia o custodia, o representación legal, la ostenten vecinos de dicho término territorial.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 84 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

No debe, también a nuestro juicio, hacer perder la anterior perspectiva, la declaración, genérica y abstracta por otra parte, del Concejo según la cual “en Bienestar Social nos solicitan el censo de niños en la localidad”. Desde la perspectiva del Ayuntamiento consultante, resulta, a juicio de esta Agencia, más que suficiente la cláusula contenida en el párrafo segundo del escrito de 7 de febrero de 2006, en cuanto lo que expresa es, a nuestro juicio, totalmente correcto: que una incorrecta utilización de dichos datos por parte del Concejo solicitante no sería imputable al Ayuntamiento. En este sentido, por supuesto, el concejo con respecto al tratamiento de datos de carácter personal está obligado a cumplir lo establecido por la normativa de protección de datos (LOPD, Ley de Bases de Régimen Local y Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos) siéndole evidentemente aplicable el régimen de infracciones y sanciones en su caso. CONCLUSIÓN La comunicación de los datos padronales de los vecinos del término territorial del Concejo realizada desde el Ayuntamiento a dicho Concejo es acorde con la normativa sobre protección de datos de carácter personal.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 85 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

PUBLICACIÓN EN LA WEB MUNICIPAL DE LAS ACTAS DE LAS SESIONES DEL PLENO Y DE LAS COMISIONES DEL PLENO EN INTERNET INFORME JURÍDICO QUE SE EMITE EN RELACIÓN A LA CONSULTA REALIZADA POR … DEL PLENO DEL EXCMO. AYUNTAMIENTO DE DONOSTIA-SAN SEBASTIÁN SOBRE EL ALCANCE DE LA AFECCIÓN DE LA NORMATIVA REGULADORA DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL A LA PUBLICACIÓN EN LA WEB MUNICIPAL DE LAS ACTAS DE LAS SESIONES DEL PLENO Y DE LAS COMISIONES DEL PLENO EN INTERNET CN06-015 ANTECEDENTES Con fecha 24 de abril 2006 tiene entrada en esta Agencia Vasca de Protección de Datos, escrito del … del Pleno del Excmo. Ayuntamiento de Donostia-San Sebastián en la que se eleva consulta en relación al asunto más arriba referenciado. En el escrito de remisión de la consulta se expresa que: “El Excmo. Ayuntamiento de Donostia-San Sebastián aprobó el día 29 de noviembre de 2005 una moción relativa a la publicación de las Actas de las sesiones de los órganos municipales y de las iniciativas que se elevan a Pleno, o a comisión de Pleno, en la página Web municipal” “Las actas del Pleno recogen actualmente la trascripción de la grabación de la sesión junto con los acuerdos adoptados, votos emitidos e incidencias.” “La de las Comisiones de Pleno reglen los textos íntegros de las propuestas de acuerdo e iniciativas, votos emitidos y sucintamente las intervenciones que expliquen el sentido del voto, así como el ejercicio de las iniciativas presentadas” “Según su naturaleza, las propuestas, proposiciones e iniciativas que se sometan a la consideración de los mencionados órganos pueden contener datos de carácter personal” El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 86 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de datos en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I El intento de dar respuesta a la consulta elevada, exige a juicio de esta Agencia, comenzar por calificar, desde la estricta perspectiva del régimen jurídico de protección de datos, la operación que, en ejercicio de sus potestades de autoorganización, pretende llevar a cabo la Administración consultante, que viene básicamente definida en la propia consulta (la publicación de las Actas de las sesiones de los órganos municipales y de las iniciativas que se elevan a Pleno, o a comisión de Pleno, en la página web municipal”) y que de acuerdo con lo también dicho en el escrito por el que se eleva la consulta trae causa de la moción aprobada el día 29 de noviembre de 2005. Pues bien, desde dicha estricta perspectiva, y atendiendo a las definiciones que de “datos de carácter personal” y “tratamiento” ofrecen los artículos 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) y la Ley del Parlamento Vasco 2/2004 de 25 de febrero, ninguna duda cabe de que la publicación de las actas de las sesiones de los órganos de gobierno municipales y de las iniciativas que se eleven a Pleno o a comisión de pleno, cuando las mismas contengan datos de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 87 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

carácter personal de personas físicas identificadas o identificables supondrá un tratamiento de datos de carácter personal, sometido, por lo tanto al régimen jurídico previsto para dicho tratamiento en la normativa antes citada. Y dicho régimen jurídico, por decirlo básicamente, pivota sobre dos principios fundamentales recogidos en los artículos 4 y 6 de la LOPD. De acuerdo con el primero (calidad de los datos en relación con las finalidades), los datos de carácter personal sólo se podrán recoger para su tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido y dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. De acuerdo con el segundo, el tratamiento de los datos de carácter personal requerirá el consentimiento de su titular, salvo que la ley disponga otra cosa. Así, la adecuación de la concreta operación que se pretende llevar a cabo a la normativa de protección de datos de carácter personal resultará del análisis y contraste de la misma en relación con la finalidad que se persigue y de la existencia de la suficiente cobertura legal. II Siendo plenamente consciente esta Agencia de que su principal objetivo es tutelar correctamente el derecho fundamental a la protección de datos de carácter personal de las personas físicas, no puede desconocer que en ocasiones, como parece ser la que se somete a consulta, dicha tutela debe hacerse compatible con la protección de otros principios y derechos de rango constitucional. Esto es, no es difícil concluir que la finalidad de la operación que se somete a consulta no es, ni mucho menos, producto del capricho o de la ocurrencia, sino como bien se expresa, por ejemplo, en la Exposición de Motivos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 88 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

del propio Reglamento de Participación Ciudadana, aprobado con fecha 31 de enero de 1997 (BOG nº 29, de 13 de febrero de 1997), proyección “de la necesidad de garantizar la transparencia en la gestión municipal y el compromiso de revitalizar la participación democrática de los ciudadanos y ciudadanas”. Transparencia y participación en los asuntos públicos, “reflejos del marco constitucional” como también expresa la Exposición de Motivos antes citada, que para poder ser llevados a efecto de una manera adecuada y efectiva, precisan de una correcta y previa transmisión de información. Esto es, el acceso a la información constituye un elemento esencial para el efectivo ejercicio de derechos y principios dignos de protección. Teniendo en cuenta las anteriores premisas y a la vista de los diferentes intereses y derechos en juego, ya ha optado esta Agencia Vasca de Protección de

Datos

en

ocasiones similares

por una solución superadora de un

planteamiento en términos de “colisión” de derechos y de elección del derecho o principio “preferente” para intentar una vía de equilibrio que, sin perjudicar el ejercicio de unos derechos, no se afecte, o se afecte lo menos posible, al contenido sustancial de otros. Y la búsqueda de dicha solución equilibradora no puede tener su punto de arranque sino en la normativa aplicable al supuesto que nos ocupa, comenzando por la relativa al régimen jurídico local. III Así pues, debe comenzarse por trascribirse, en lo básico, el régimen jurídico del acceso a la información en el ámbito de la administración local comenzando por el artículo 18.1 e) de la Ley de Bases de Régimen Local en la redacción dada por la Ley 57/2003, de 16 de diciembre, de medidas para la modernización del gobierno local, de acuerdo con el cual es un derecho de los vecinos: e) Ser informado, previa petición razonada, y dirigir solicitudes a la Administración municipal en relación a todos los expedientes y documentación expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 89 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

municipal, de acuerdo con lo previsto en el artículo 105 de la Constitución. En el tema que nos ocupa forzosamente debe hacerse referencia al Capítulo V del Título V de la Ley de Bases en cuya cabecera, el artículo 69 viene a establecer ya que: “1. Las Corporaciones locales facilitarán la más amplia información sobre su actividad y la participación de todos los ciudadanos en la vida local. 2. Las formas, medios y procedimientos de participación que las Corporaciones establezcan en ejercicio de su potestad de autoorganización no podrán en ningún caso menoscabar las facultades de decisión que corresponden a los órganos representativos regulados por la ley”. Acercándonos más a la concreta preocupación del ente consultante, debe destacarse el artículo 70 de dicha Ley a cuyo tenor “1. Las sesiones del Pleno de las corporaciones locales son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. No son públicas las sesiones de la Junta de Gobierno Local 2. Los acuerdos que adopten las corporaciones locales se publican o notifican en la forma prevista por la Ley. Las ordenanzas, incluidos el articulado de las normas de los planes urbanísticos, así como los acuerdos correspondientes a éstos cuya aprobación definitiva sea competencia de los entes locales, se publicarán en el "Boletín Oficial" de la provincia y no entrarán en vigor hasta que se haya publicado completamente su texto y haya transcurrido el plazo previsto en el artículo 65.2 salvo los presupuestos y las ordenanzas fiscales que se publican y entran en vigor en los términos establecidos en la Ley 39/1988, de 28 de diciembre, Reguladora de las Haciendas Locales. Las Administraciones públicas con competencias urbanísticas deberán tener, a disposición de los ciudadanos que lo soliciten, copias completas del planeamiento vigente en su ámbito territorial. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 90 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

3. Todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de las corporaciones locales y sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105, párrafo b) de la Constitución. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada”. Por su parte, del Reglamento de Organización y Funcionamiento de las Entidades Locales, aprobado por el Real Decreto 2568/1986, de 28 de noviembre deben tenerse, al menos, a la vista, los siguientes artículos. El artículo 88, a cuyo tenor “1 .Serán públicas las sesiones del Pleno. No obstante podrá ser secreto el debate y la votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución Española, cuando así se acuerde por mayoría absoluta.” El 196, primero del Capítulo II del Título VI, “De la publicidad y constancia de los actos y acuerdos” de acuerdo con el cual: “1. Los acuerdos que adopten el Pleno y la Comisión de Gobierno cuando tengan carácter decisorio, se publican y notifican en la forma prevista por la Ley. Iguales requisitos serán de aplicación a las Resoluciones del Alcalde o Presidente de la Corporación y miembros de ella que ostenten delegación” E igualmente el artículo 207, último de dicho Capítulo: “Todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de los órganos de gobierno y administración de las entidades locales y de sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105 b) de la Constitución Los acuerdos que adopten el Pleno y la Comisión de Gobierno cuando tengan carácter decisorio, se publican y notifican en la forma prevista por la Ley. Iguales requisitos serán de aplicación a las Resoluciones del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 91 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Alcalde o Presidente de la Corporación y miembros de ella que ostenten delegación” En relación a las actas, cuestión de máximo interés en el supuesto sometido a análisis, el artículo 50 del Real Decreto legislativo 781/1986, de 18 de abril, por el que se aprueba el texto refundido de las disposiciones legales vigentes en materia de régimen local establece “De cada sesión se extenderá acta por el Secretario de la Corporación o en su caso, del órgano correspondiente, haciendo constar, como mínimo, la fecha y hora de comienzo y fin; los nombres del Presidente y demás asistentes; los asuntos tratados; el resultado de los votos emitidos y los acuerdos adoptados. En las sesiones plenarias deberán recogerse sucintamente las opiniones emitidas.” Precepto que es desarrollado en el Reglamento de Organización y Funcionamiento antes citado, artículos 109 y 110. Por último, no puede dejar de citarse, siquiera, el Capítulo II del Título VII de dicho Reglamento “Estatuto del Vecino” con especial mención, si acaso, a los artículos 227, 229 y 230. Sin necesidad de transcribir dicho Capítulo por ser conocedor, sin duda y de primera mano, el órgano consultante, sí conviene hacerlo respecto al punto 2 de dicho artículo 230, poniéndolo en relación con el 109, a los efectos que más abajo se dirán. En él se establece que: “La obtención de copias y certificaciones acreditativas de acuerdos municipales o antecedentes de los mismos, así como la consulta de archivos y registros, se solicitarán a la citada Oficina que, de oficio realizará las gestiones que sean precisas para que el solicitante obtenga la información requerida en el plazo más breve posible y sin que ello suponga entorpecimiento de las tareas de los servicios municipales” Como fácilmente se deduce de cuanto se lleva trascrito, las cuestiones que tienen incidencia directa en el asunto que nos ocupa son objeto de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 92 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

regulación

diferenciada

y necesitadas, a

juicio

de

esta

Agencia, del

establecimiento de puntos de conexión que permitan una integración entre todas ellas, porque resulta evidente, y la consulta elevada es muestra palpable de ello, de la interrelación entre la naturaleza y funcionamiento de los Plenos, el régimen de publicidad de actas y acuerdos, la regulación de las actas y la forma de articular la participación ciudadana, cuestiones, además, según pone también de manifiesto la consulta, en las que el derecho fundamental a la protección de datos de carácter personal, (derecho que, por cierto, ni siquiera es citado por los artículos antes trascritos, por ser anteriores a la normativa de protección de datos y su concreción como Derecho Fundamental) debe contar con la tutela necesaria. A la profusa normativa más arriba citada, debe unirse la regulación que sobre dichas cuestiones se contiene tanto en el Reglamento de Participación Ciudadana antes citado, como en el Reglamento Orgánico del Pleno del Excmo. Ayuntamiento de Donostia-San Sebastián (BOG nº 193, de 6 de octubre de 2004). Tampoco puede obviarse el hecho de que, en lo que alcanza esta Agencia, se tiene conocimiento en la misma (a través precisamente de la página web del Ayuntamiento de Donostia-San Sebastián) de un borrador de “Norma orgánica de participación ciudadana” fechado en marzo de 2005, y de un documento titulado “La participación ciudadana en el Ayuntamiento de Donosita-San Sebastián. Proceso de contraste social del reglamento de participación ciudadana. Informe de resultados”, en los que, también por cierto, se omite cualquier referencia al artículo 18.4 CE. IV De las, sin duda, muchas conclusiones que pudieran extraerse de un más exhaustivo análisis del régimen jurídico al que se encuentran sometidos la celebración de los Plenos por las administraciones locales, el régimen de publicidad de sus acuerdos y resoluciones y de la articulación de la participación ciudadana, del expuesto más arriba, y en relación con el derecho fundamental a la protección de datos de carácter personal, merecen destacarse, a juicio de esta Agencia, al menos, una primera consistente en que aparece ampliamente expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 93 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

garantizado el principio de publicidad de las sesiones de los plenos (artículos 70.1 de la Ley de Bases y 88 y 227 del ROF) e, igualmente, en segundo lugar una amplia garantía respecto al derecho de información de los vecinos respecto a los acuerdos y resoluciones adoptados en los plenos (artículos 69, 70.2 y 70. 3 de la Ley de Bases y 207 y 230 del ROF). No puede obviarse por lo tanto, el importante papel que la publicidad de los Plenos tiene como instrumento de información directa de los ciudadanos y por lo tanto, como mecanismo que permite la participación de los vecinos en los asuntos municipales. A las anteriores evidentes conclusiones, debe unirse desde la perspectiva que nos ocupa, otra que, por objetiva y sin necesidad de realizar valoración alguna en este momento, también aparece como evidente a tenor del propio texto de la normativa citada, consistente en la total ausencia de referencia alguna a la protección de datos de carácter personal y a su régimen jurídico, siquiera sea con la cita del artículo 18.4 CE. Habrá de verse entonces cómo es posible articular el régimen jurídico de publicidad y participación con el derecho fundamental que ahora interesa. Comenzando por el principio de publicidad al que queda sometido el régimen de funcionamiento de los Plenos, debe decirse que, sin perjuicio de volver a reconocer los amplios términos en que queda garantizado, ello no significa que esté exento de límites. Dichos límites son los que expresamente se determinan en la normativa más arriba trascrita, y a juicio de esta Agencia sólo ellos. Quiere decirse con lo anterior que, salvo en el supuesto previsto en el artículo 70.1 LBRL (cuando exista afectación al derecho al honor, a la intimidad personal y familiar o a la propia imagen) y cuando ello sea decidido en la forma prevista en el artículo 88 del ROF (mayoría absoluta), en el resto de supuestos cualquiera podrá acudir a dichas sesiones y, cuando menos, oír lo que allí se exponga y participar en la manera en que también se contempla en dicho expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 94 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

artículo 88. A la misma conclusión lleva, en lo que ahora interesa, el análisis de lo dispuesto en el Reglamento Orgánico Todo ello, aunque en el transcurso del debate que en dicho pleno se produzca, se haga referencia a datos de carácter personal, porque obsérvese que el artículo 70.1 LBRL hace referencia expresa al artículo 18.1 CE pero no al 18.4, que como también se dijo, no aparece citado en ningún momento. La anterior conclusión la obtiene esta Agencia, en primer lugar de la consideración de que dicho régimen de funcionamiento de los plenos trae causa directa del derecho de participación en la vida local, reconocido en el artículo 69 de la LBRL y, en segundo, de la jurisprudencia del Tribunal Supremo que expresamente reconoce que “… de esa conjunción (la de los diferentes apartados del artículo 88 del ROF) es deducible que ese derecho a la publicidad, como esencial y mas inmediato componente del de información, en su aspecto pasivo o de recepción, en este caso está concebido única y exclusivamente en beneficio del público asistente a las sesiones y no de los miembros de la Corporación, como se infiere claramente del privativo y diferenciado artículo 77 de la citada ley de bases” De esta manera, el principio de publicidad de los plenos, consecuencia del derecho de participación de los vecinos, y salvo en los especiales supuestos en que así se acuerde por afectación al artículo 18.1 CE, permite que el público asistente pueda tener conocimiento de datos de carácter personal de terceros, siempre que no afecten a su derecho al honor, a la intimidad personal o familiar y a la propia imagen, y sin que ello pueda considerarse atentatorio al derecho fundamental de dichos terceros, constituyendo a la vez un mecanismo directo de participación en la vida municipal. Lo anterior no significa, no puede significar, que dicho derecho fundamental quede desprotegido. El régimen de publicidad al que quedan sometidas las celebraciones de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 95 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

los plenos no convierte a éstos, desde la perspectiva de protección de datos, en una “fuente accesible al público” en los términos del artículo 3 j) de la LOPD. Consecuentemente, cualquier persona que pretenda recoger y tratar dichos datos de carácter personal estará sometida a los requisitos establecidos en dicha Ley Orgánica. Cosa distinta a la publicidad de las sesiones de los plenos, en los términos que se ha visto más arriba, se articula en la normativa citada el derecho de información de los vecinos fuera de esos plenos. Dicho

derecho

de

información

no

aparece,

ni

mucho

menos,

incondicionado. Así, el propio artículo 18.1 e) LBRL exige razonar la petición de información y contiene una posterior remisión al artículo 105 de la CE, remisión que también se contiene en el artículo 70.3 de dicho texto legal, y en el artículo 207 ROF. Debe sin embargo destacarse que de estos dos últimos preceptos citados, así como del 230.2 del ROF y especialmente de la utilización en ellos de la expresión “así como”, deduce esta Agencia Vasca de Protección de Datos que existen dos formas diferentes de ejercer dicho derecho de información por relación al objeto. Respecto a las “copias y certificaciones acreditativas de los acuerdos de las corporaciones locales” y parafraseando a lo dicho por la Sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Cataluña en la que se indica: “no existe obstáculo alguno para que los vecinos en su condición de tales puedan obtener copia simple informativa del acta de la sesión” La anterior conclusión da respuesta a la primera pregunta realizada en la consulta en cuanto facilitar a los vecinos que así lo soliciten copia del Acta del Pleno Municipal no vulneraría la normativa de protección de datos, si bien, en aplicación del artículo 18.1 e) LBRL, dicha petición debe ser razonada.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 96 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Respecto al contenido del acta cuya copia simple se solicite, a juicio también de esta Agencia, no se encuentran motivos para que en ella deba constar un contenido diferente al previsto en el artículo 109 del ROF, y por lo tanto también “la parte dispositiva de los acuerdos que se adopten”, con la excepción a la que se hace referencia a continuación Protección de Datos en Resoluciones como la participamos y según la cual: Excepción que a juicio de esta Agencia deriva de la doctrina sentada por la Agencia Española de 596/2003, de 4 de noviembre, de la cual “La normativa citada establece obligaciones de información pública a las Corporaciones Locales. Sin embargo tales obligaciones informativas han de cohonestarse con otras previsiones legales que limitan el acceso a la información contenidas en la propia Ley 7/1985 y en todo caso en la LOPD. Así cabe citar, ejemplificativamente, el artículo 70.3 de la Ley 7/1985 y los artículos 35 y 37 de la Ley 30/1992, de 26 de noviembre, a la que se remite, en los que se establecen limitaciones para el acceso a archivos y registros públicos. Y en todo caso, debe atenderse a lo previsto en los artículos 7.5 LOPD que califica como especialmente protegidos los datos personales relativos a la comisión de infracciones administrativas, 10 que impone el deber de secreto y 44.3 g) que tipifica expresamente como infracción grave la vulneración del deber de secreto respecto de la información de tal naturaleza. En aplicación de dicha doctrina, la conclusión a la que razonablemente cabe llegar es que salvo que en dichas copias y certificaciones consten datos de carácter personal especialmente protegidos, esto es, los contemplados en el artículo 7 LOPD, en el resto de supuestos, la comunicación de los datos de carácter personal que obren en dichas copias y certificados, vendría amparada por el artículo 70.3 de la LBRL, en relación con lo dispuesto en el artículo 11.2 a) de la LOPD. Por otra parte, el acceso al resto de la documentación, en virtud de lo previsto en los artículos de la LBRL y ROF de continua cita, queda sometido al régimen jurídico previsto en los artículos 35 y 37 de la Ley 30/1992, de 26 de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 97 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

noviembre. Dicha conclusión, que se obtiene sin dificultad del tenor literal de los preceptos que contiene una remisión expresa al respecto, parece correcta además de acuerdo con la misma Sentencia citada más arriba, de acuerdo con la cual “A igual conclusión debe llegarse a la vista de lo dispuesto en el artículo 140.2 b) de la Ley Municipal y de régimen local de Cataluña, así como el artículo 37 de la Ley 30/1992, de 26 de noviembre que no limita a los interesados el acceso a los archivos y registros públicos salvo que contengan datos referentes a la intimidad de las personas o concurran otras circunstancias específicas que no se dan en el supuesto de autos” Para concluir en aquel caso en la estimación del recurso entablado y en consecuencia el derecho del solicitante a obtener lo pedido “…el recurrente justifica en este caso de modo suficiente su interés en el acceso a la documentación solicitada, a través del cual pretende conocer la actuación de la Corporación en supuestos similares al de las obras que, según sostiene, afectan a un terreno de su propiedad”. V En relación a la exposición pública de las actas, si bien es cierto que el artículo 229.2 ROF establece que “Sin perjuicio de lo dispuesto en el artículo 70.2 de la Ley 7/1985, de 2 de abril, la Corporación dará publicidad resumida del contenido de las sesiones plenarias y de todos los acuerdos del Pleno y de la Comisión de Gobierno, así como de las resoluciones del Alcalde y las que por su delegación dicten los Delegados” Esta Agencia participa de la doctrina de la Agencia Española de Protección de Datos señalada más arriba, de acuerdo con la cual “Las previsiones de la LOPD no pueden quedar enervadas por la nueva obligación legal, de carácter genérico alegada por el Ayuntamiento pues tal criterio no sería conforme con lo señalado en la STC 292/2000 de 30 de noviembre (Fundamentos de Derecho 9 a 12)”

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 98 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

Dicha conclusión se deriva a nuestro juicio del diferente alcance que respecto a un efectivo ejercicio del derecho de información de los vecinos adquiere la petición de información, con base primera en el artículo 18.1 e) de la LBRL (“petición razonada”) y la publicación prevista en el 229.2 ROF recién trascrito. Así como respecto a la primera no es posible deducir más límites que los señalados respecto a los datos sensibles, la referencia en esta segunda al “resumen” da idea de una más intensa proyección del derecho fundamental a la protección de datos de carácter personal, y ello, en primer lugar, porque no concretando cual deba ser ese resumen, y no haciendo referencia expresa a la publicidad de las actas no hay mandato legal para que dicho resumen deba ofrecer el mismo contenido que para las actas previene el artículo 109, y tampoco por lo tanto, la parte dispositiva de los acuerdos que se adopten, y por otra, el núcleo esencial del derecho de información de los vecinos queda intacto en cuanto los mismos siempre e independientemente de la publicación de dicho resumen, pueden ejercer directamente el derecho de información En aplicación de dicha doctrina el “resumen” al que hace referencia dicho precepto aconseja eliminar del mismo aquellos datos de carácter personal que no sean adecuados, pertinentes y resulten excesivos con la finalidad de ofrecer una información “genérica” a los vecinos, y desde luego en ningún caso deben contener datos de carácter personal sensibles. Existe además una tercera razón que abonaría la anterior solución y que se deriva del artículo 196 de dicho ROF, trascrito más arriba, el cual en cuanto contienen respecto a la publicación y notificación una remisión “a la forma prevista en la Ley” están remitiendo a la Ley 30/1992, y consecuentemente será necesaria la publicación del texto íntegro de la resolución (no meramente a efectos informativos) en los supuestos previstos en el artículo 60 de dicha Ley, siendo de aplicación también para los supuestos previstos el artículo 61 de la misma. En el resto de supuestos lo procedente será la notificación a los interesados, lo cual, en principio no debe plantear problemas desde la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 99 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

perspectiva de protección de datos de carácter personal. Y ello, sin perjuicio de lo dispuesto en el artículo 87 del Reglamento Orgánico antes citado y a cuyo tenor Artículo 87. Diario de sesiones. Mediante Resolución del Presidente del Pleno, a propuesta del Secretario General del Pleno, se creará un Diario de Sesiones del Pleno. Dicho Diario tendrá carácter oficial y en él se reproducirán íntegramente, dejando constancia de los incidentes producidos, de las intervenciones y acuerdos adoptados en las sesiones del Pleno Y en la Disposición Adicional Cuarta a cuyo tenor En tanto no se produzca la efectiva puesta en funcionamiento del Diario de Sesiones, las actas del Pleno recogerán la trascripción de la grabación de la sesión junto con los acuerdos adoptados, votos emitidos e incidencias. Las de las Comisiones recogerán los acuerdos adoptados, votos emitidos y sucintamente las intervenciones que expliquen el sentido del voto, así como el ejercicio de las iniciativas presentadas. VI A juicio de esta Agencia sirve de medida de, al menos, la razonabilidad de la respuesta que contiene el presente dictamen, el hecho de que la misma solución ofrece el análisis de la cuestión desde otra perspectiva. Dicha perspectiva es la de diferenciar entre el principio de publicidad al que queda sometido el funcionamiento de las sesiones del pleno y el régimen de la publicidad con respecto a la difusión de los acuerdos y resoluciones adoptadas en el mismo. Quiere decirse que, también a juicio de esta Agencia, el hecho de que las sesiones del pleno, con carácter general, sean públicas, no significa, no al menos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 100 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

necesariamente, que todas los acuerdos y resoluciones del mismo deban hacerse igualmente públicos en su totalidad. Así como en la celebración del pleno no existirá afectación al derecho a la protección de datos de carácter personal de las personas sobre las cuales se esté debatiendo y tomando acuerdos, sí puede producirse dicha afectación en el caso de que se publiquen en su totalidad dichos acuerdos y resoluciones y éstos contengan datos de carácter personal que identifiquen o hagan identificable a las personas y dicha afectación se producirá cuando la publicación de dichos datos no sean adecuados, pertinentes y sean excesivos con la finalidad que persigue la publicación que, para este caso, es posibilitar el derecho de información de los vecinos. Las conclusiones más arribas alcanzadas, no se ven alteradas por el instrumento utilizado para hacer efectiva la publicidad que haga posible a su vez la participación ciudadana (papel, página web, etc.…). En dicho sentido y en relación al Excmo. Ayuntamiento de Donostia-San Sebastián, el artículo 58 “in fine” del Reglamento Orgánico antes citado establece expresamente que Para ampliar la difusión del desarrollo de las sesiones podrán utilizarse sistemas de megafonía, circuitos de televisión o redes de comunicación tales como Internet. Coadyuva también a la razonabilidad de la conclusión alcanzada el borrador de “Norma orgánica de participación ciudadana” a la que más arriba hemos hecho referencia, en cuanto la misma parece apuntar en la misma dirección en varios de sus artículos. Así, además de contemplar expresamente el derecho de información de los ciudadanos y de establecer los mecanismos a través de los cuales hacer efectivo el mismo con especial atención a la potenciación entre otros de la página web, (artículos 10 y 38), existen específicas menciones a la cuestión que nos ocupa. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 101 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

En dicho sentido, el artículo 14, “Publicidad de las sesiones y de los acuerdos”, que establece: “1. Para la información de los vecinos en general, las convocatorias y orden del día del Pleno del Ayuntamiento y del Gobierno donostiarra se harán públicas. 2. Sin perjuicio de lo dispuesto por la normativa vigente sobre notificación y publicación de actos y acuerdos, el Ayuntamiento dará publicidad resumida de los acuerdos del Pleno y de la Junta de Gobierno Local, a través de los medios que considere oportunos, y también a previa petición de la ciudadanía, como la página Web municipal y la Oficina de Atención Ciudadana”. O el artículo 40 “La página web municipal”: “1. El Ayuntamiento pondrá a disposición de la ciudadanía una página web donde se podrá informar de las actuaciones de interés general, extractos de los acuerdos de los órganos de Gobierno y Pleno municipal y de la agenda de actividades más relevantes para el municipio. 2. Esta página web informará de los Presupuestos y proyectos de importancia para el municipio. Igualmente podrán realizarse consultas y efectuar trámites administrativos mediante los procedimientos que se acuerden. 3. En la página web se impulsará un espacio donde puedan presentarse ideas, opiniones, sugerencias, fórums de debate sobre temas de interés municipal y similares”. VII En relación con las Comisiones del Pleno, la respuesta debe ser todavía más matizada, atendiendo a la diferente regulación que respecto a la publicidad de las mismas se contiene en el Reglamento orgánico. Así el artículo 126.1a) del mismo establece que “A fin de posibilitar una mejor información a la ciudadanía sobre la actividad municipal, las sesiones de las comisiones de pleno serán públicas para los medios informativos que estén expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 102 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

debidamente acreditados. No será pública una sesión cuando así lo decida una mayoría de portavoces en Comisión que represente la mayoría absoluta ponderada de miembros de la Corporación. Previa invitación por parte del Presidente, a iniciativa suya o de un miembro de la Comisión, podrán asistir personas ajenas a la misma por entenderse oportuna su presencia en relación con el asunto de que se trata.” De la simple lectura de dicho artículo se deduce sin dificultad que el régimen de publicidad de las sesiones de las Comisiones es bien diferente a las del Pleno, estableciéndose que serán públicas para los medios informativos debidamente acreditados y estableciéndose igualmente la no publicidad de las mismas, por la mayoría establecida en el mismo pero, lo que resulta más interesante, sin necesidad de que dicha declaración quede vinculada al 18.1 CE. VIII Por último debe hacerse mención siquiera a las condiciones mínimas que toda publicación en Internet, como medio de difusión de las sesiones y de los acuerdos, y en cuanto supone un tratamiento de datos de carácter personal, debe cumplir, a juicio de esta Agencia, para poder considerarla respetuosa con el derecho a la protección de dichos datos. De esta manera, el protocolo que debe cumplirse en cuanto al tratamiento de estos datos se refiere, debe contemplar los siguientes aspectos: a) En cuanto a los aspectos formales que debe cumplir el propio fichero: Los contemplados en el artículo 20 de la LOPD, esto es regulación por una disposición de carácter general, publicada en el Boletín Oficial correspondiente. La realización del documento de seguridad, según lo establecido por el artículo 9 LOPD y su concreción en el Real Decreto 994/1999 (Reglamento de medidas de seguridad) La inscripción en el Registro de Protección de Datos, según lo estipulado por el artículo 39 LOPD y el artículo 18 de la LAVPD. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 103 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

b) En cuanto al derecho de información: En los documentos a través de los cuales se recojan los datos de carácter personal objeto de tratamiento y publicación en la página Web deberá dejarse constancia del derecho de información contemplado en el artículo 5 de la LOPD, así deberá informarse de: que los datos personales recogidos serán incorporados y tratados en el fichero [XXXX], cuya finalidad es [XXXX] que los mismos no serán cedidos, que el órgano responsable del fichero es [XXXX], que la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es …(dirección [XXXX], y que los datos de carácter personal que obren en los acuerdos serán publicados en la página Web, durante el tiempo pertinente para la realización del proceso de [XXXX], así como para el ejercicio de los oportunos recursos. A título de ejemplo, un modelo de cláusula de información puede contener el siguiente texto: “Los datos personales recogidos serán incorporados y tratados en el fichero [XXXX Indicar el nombre], cuya finalidad es [XXXX describir], y podrán ser cedidos a [XXXX Indicar], además de otras cesiones previstas en la Ley. El órgano responsable del fichero es [XXXX Indicar], y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es [XXXX Indicar]. Todo lo cual se informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.” c) En cuanto a la información en la propia Web de los diferentes extremos de la publicación que en ella se realiza, deberá dejarse constancia de la naturaleza de los datos que en ella se recogen. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 104 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

De la misma manera, debiera incluirse un párrafo informativo en el que se deje constancia de que los datos de carácter personal contenidos en esa página Web no constituyen fuente de acceso público y no podrán ser reproducidos ni en todo ni en parte, ni transmitidos ni registrados por ningún sistema de recuperación de información, sin el consentimiento de los propios afectados. Dicho párrafo debiera hacer alusión, también, a que la difusión de los datos de carácter personal contenidos en esa página Web tiene como exclusiva finalidad el cumplimiento del principio de publicidad y de participación ciudadana contenido en la legislación de régimen local. 4.- En cuanto a la calidad de los datos, estos deberán tratarse a la luz de lo que establece el artículo 4 de la LOPD, y concretamente sus puntos tres a cinco: “”… 3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. 4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el art. 16. 5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. …” CONCLUSIONES Facilitar a los vecinos que lo soliciten copias y certificaciones acreditativas de los acuerdos de la corporación no vulnera la normativa sobre protección de datos de carácter personal en los términos contenidos en la consideración IV del presente dictamen. Facilitar a los vecinos que lo soliciten una copia simple del acta, con el contenido que se expresa en el artículo 109 ROF y siempre que no afecte a la intimidad de las personas, no vulnera la normativa sobre protección de datos de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 105 de 609

INFORMES JURÍDICOS- CORPORACIÓN LOCAL Agencia Vasca de Protección de Datos.

carácter personal. La exposición pública y resumida de las actas, cualquiera que sea el medio a través del cual se realice, no es contraria a la normativa sobre protección de datos, en los términos contenidos en las consideraciones V y VI del presente dictamen.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 106 de 609

II) POLICIA LOCAL

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 107 de 609

A) INFORMES JURÍDICOS ACCESO POR LA POLICIA A DATOS DE MATRÍCULAS EN PARKING..................................... 109 POLICIA LOCAL. DEBERES DE INFORMACIÓN Y NOTIFICACIÓN. .......................................... 111 CESIÓN MUNICIPAL DE DATOS DE DOMICILIO A LA D. G. TRÁFICO...................................... 116 ACCESO POR PARTE DE LA POLICÍA LOCAL A LOS DATOS DE CARÁCTER PERSONAL DE LOS MENORES INCORPORADOS A LOS FICHEROS DE LOS CENTROS ESCOLARES DEL MUNICIPIO...................................................................................................................................... 122

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 108 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

ACCESO POR LA POLICIA A DATOS DE MATRÍCULAS EN PARKING. La consulta plantea “bajo qué circunstancias” puede autorizarse a las Fuerzas y Cuerpos de Seguridad el acceso a las instalaciones de un determinado aparcamiento público para proceder a la lectura de las matrículas de los vehículos estacionados, teniendo en cuenta que la matricula de un vehículo ha de ser considerada como dato de carácter personal, conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. El artículo 22.2 de la Ley Orgánica 15/1999 dispone que “la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad” El citado artículo habilita, a nuestro juicio, a los miembros de las Fuerzas y Cuerpos de Seguridad para la obtención y tratamiento de los datos requeridos, lo que llevará aparejada la procedencia de la cesión instada, siempre y cuando, tal y como ha venido indicando reiteradamente esta Agencia Española de Protección de Datos en diversos informes, se cumplan las siguientes condiciones: a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. c) Que la petición se efectúe con la debida motivación, que acredite su relación expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 109 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

con los supuestos que se han expuesto. d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999, los datos sean cancelados “cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 110 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

POLICIA LOCAL. DEBERES DE INFORMACIÓN Y NOTIFICACIÓN. La consulta plantea varias cuestiones relacionadas con la instalación de cámaras de videovigilancia, en los supuestos descritos en la misma. A tal efecto se diferencia en la consulta entre los supuesto de vigilancia sometidos a lo dispuesto en la Ley Orgánica 4/1997, de 4 de agosto, por la que se Regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos y los de vigilancia del tráfico, a los que se refiere la Disposición adicional octava de la citada Ley Orgánica. En concreto, se plantea si procede la notificación de ambos tipos de ficheros a los efectos de su inscripción en el Registro General de Protección de Datos y cómo ha de darse cumplimiento al deber de información exigido en la Instrucción 1/2006 de esta Agencia Española de Protección de Datos. Conforme a lo dispuesto en el artículo 2.3 e) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, “se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales (…) los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia”. Esta previsión se completa con lo dispuesto en el artículo 1.2 de la Instrucción 1/2006, de 8 de noviembre de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, a cuyo tenor “el tratamiento de los datos personales procedentes de las imágenes obtenidas mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad se regirá por las disposiciones sobre la materia.” A su vez, dado que de la consulta se desprende que las grabaciones son instaladas y visionadas por la propia Policía Local, debe recordarse que según el artículo 3.1 c) de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad tiene la condición de tales “los Cuerpos de Policía dependientes de las Corporaciones Municipales”. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 111 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

Por este motivo, deberá estarse a lo dispuesto en la Ley Orgánica 4/1997, ya citada con anterioridad. En este sentido, debe recordarse que, según dispone el artículo 1.1 de dicha Ley, su objeto es regular “la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para grabar imágenes y sonidos en lugares públicos, abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así como de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad pública”. No obstante, señala el artículo 1.2 de la propia Ley Orgánica 4/1997 que “sin perjuicio de las disposiciones específicas contenidas en la presente Ley, el tratamiento automatizado de las imágenes y sonidos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal”. En consecuencia, y como ha señalado el Consejo de Estado en su Dictamen al Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real decreto 1720/2007, de 21 de diciembre, las normas contenidas en la Ley Orgánica 15/1999 serán de aplicación supletoria a los supuestos regulados por la Ley Orgánica 4/19997 en todo lo no expresamente previsto en la misma. De este modo, serán de aplicación a los sistemas de vigilancia previstos en la citada Ley Orgánica 4/1997 las disposiciones de la Ley Orgánica 15/1999 en dichas materias no reguladas, y en particular las que imponen la obligación de adoptar la correspondiente norma de creación de los ficheros y las que obligan a la notificación del fichero para su inscripción en el Registro General de Protección de Datos. Asimismo en relación con las cámaras instaladas para la vigilancia del tráfico, es preciso recordar, como señala la propia consulta, que la disposición adicional octava de la Ley Orgánica 4/1997 dispone que “la instalación y uso de videocámaras y de cualquier otro medio de captación y reproducción de imágenes para el control, regulación, vigilancia y disciplina del tráfico se efectuará por la autoridad encargada de la regulación del tráfico a los fines previstos en el texto articulado de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por Real Decreto Legislativo 339/1990, de 2 de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 112 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

marzo, y demás normativa específica en la materia, y con sujeción a lo dispuesto en las Leyes Orgánicas 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, y 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, en el marco de los principios de utilización de las mismas previstos en esta Ley. En consecuencia, el establecimiento de estos dispositivos, no sujetos al régimen establecido por el articulado de la Ley Orgánica 4/1997, quedan plenamente sujetos a lo dispuesto en la Ley Orgánica 15/1999 y en consecuencia a su normativa de desarrollo, entre la que se encuentra la Instrucción 1/2006. Por tanto deberá igualmente en este caso procederse a la adopción de la correspondiente norma de creación del fichero y a su notificación para la inscripción en el Registro general de Protección de Datos. Por tanto, deberá procederse a la notificación de los ficheros con la única salvedad prevista en el artículo 7.2 de la Instrucción 1/2006 que considera que “no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.” Respecto a los ficheros que han de crearse, dada la finalidad de los mismos y su distinto régimen regulador, será igualmente necesaria la creación de ficheros separados que atenderán, respectivamente, a las funciones previstas en la Ley Orgánica 4/1997 y al control del tráfico. En cuanto al cumplimiento del deber de informar, debe en primer lugar hacerse referencia a las cámaras sujetas a lo dispuesto en la Ley Orgánica 4/1997, cuyo artículo 9 establece un régimen especial al efecto, disponiendo que “el público será informado de manera clara y permanente de la existencia de videocámaras fijas, sin especificar su emplazamiento, y de la autoridad responsable”. En este sentido, dispone el artículo 21.1 del Reglamento de desarrollo de la Ley Orgánica 4/1997 que “la información al público de la existencia de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 113 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

instalaciones fijas de videocámaras será responsabilidad de la autoridad que haya otorgado la autorización, y deberá ser efectiva desde el mismo momento en que se proceda a la utilización de las mismas, debiendo mantenerse actualizada de forma permanente”, añadiendo el artículo 21.2 que “dicha información, que no especificará el emplazamiento concreto de las instalaciones fijas de videocámaras deberá contener en todo caso una descripción genérica de la zona de vigilancia y de las autoridades responsables de la autorización y custodia de las grabaciones. En cuanto al modo en que habrá de darse cumplimiento al citado deber, el artículo 22 del citado reglamento dispone que: “1. Para informar al público de la existencia de instalaciones fijas de videocámaras se utilizará una placa informativa, en la cual figurará el pictograma de una cámara de vídeo, y un panel complementario con el contenido especificado en el artículo anterior. 2. El diseño y formato de la placa informativa y el del panel complementario se ajustará a lo establecido en el Anexo al presente Reglamento. 3. Cuando por razones debidamente justificadas no puedan emplearse los medios descritos en los apartados anteriores, se utilizarán cualesquiera otros instrumentos de información para garantizar la efectividad de lo previsto en el apartado primero del artículo noveno de la Ley Orgánica 4/1997.” En consecuencia, tratándose de videocámaras instaladas al amparo de la Ley Orgánica 4/1997, deberá procederse al cumplimiento del deber de información en los términos previstos en el artículo 22 de su Reglamento de desarrollo, dado que la legislación específica en esta materia sí contiene normas concretas relacionadas con el cumplimiento de este deber. Por su parte, en relación con las cámaras instaladas para a vigilancia del tráfico, será de aplicación a las mismas lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, interpretado conforme al artículo 3 de la Instrucción 1/2006 que señala que “los responsables que cuenten con sistemas de videovigilancia expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 114 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán: a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999. Concluye el precepto disponiendo que “el contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción”. En relación con el modo de proceder al cumplimiento de este deber, habrá de verificarse mediante la inclusión del correspondiente cartel informativo en el perímetro de la zona objeto de vigilancia. Así, el informe de esta Agencia de 2 de abril de 2008 señala que “podrá informarse a la entrada de la ciudad de la existencia de cámaras de vigilancia para el control del tráfico y la seguridad pública”.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 115 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

CESIÓN MUNICIPAL DE DATOS DE DOMICILIO A LA D. G. TRÁFICO La consulta plantea, si alguno de los puntos del convenio que se adjunta contraviene la Ley Orgánica 15/1999, de 13 de enero de Protección de Datos de Carácter Personal. En primer lugar, es preciso indicar que la Agencia Española de Protección de Datos, no puede informar el Convenio adjuntado, dado que esa actuación debería de haberse solicitado o por la Jefatura Central de Tráfico o por la Federación Española de Municipios. No obstante, entraremos analizar las dudas suscitadas por la entidad consultante. La consulta plantea dudas respecto del contenido de la cláusula cuarta del Convenio, por lo que procederemos a estudiar la citada cláusula. Como punto de partida, hemos de señalar que del tenor de la cláusula cuarta del Convenio, no se deduce que se vaya a producir una acceso por parte de la Jefatura Central de Tráfico al padrón de habitantes, acceso que de forma ilimitada no podría producirse, pues así lo ha señalado la Agencia en numerosos informes como en el de fecha 5 de septiembre de 2005 en el que se establecía que “A estos efectos debe indicarse que el Padrón municipal de habitantes es un registro de carácter administrativo que se encuentra regulado por la Ley 7/1985, de 2 de abril, de Bases del Régimen Local, cuyo artículo 16 proclama que establece en su apartado primero que “El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos”. En relación con la cesión de los datos contenidos en el mismos, el mismo artículo en su apartado tercero recoge los principios que rigen la transmisión y utilización de los datos del Padrón Municipal, al disponer que “Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 116 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública. Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común” Sin perjuicio de que la referencia a la Ley Orgánica 5/1992 ha de entenderse hoy hecha a la Ley Orgánica 15/1999 (LOPD), y en relación con este precepto, la Agencia de Protección de Datos ha considerado que la expresión «datos del Padrón municipal» que se emplea en este artículo 16.3 de la LBRL se refiere únicamente a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón municipal: la determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio. Por ello, cualquier cesión de los datos del Padrón deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer el dato del domicilio de la persona afectada, dado que del artículo 4.2 de la LOPD se deriva la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba. Fuera de los supuestos contemplados en dicho artículo 16. 3 de la LBRL, que no resulta aplicable al supuesto examinado, debe tenerse en cuenta lo establecido en la Ley Orgánica 15/1999, debe señalarse con carácter general, que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Respecto del contenido de la citada cláusula, sí podemos destacar que a través de la misma, se está recabando el consentimiento de los ciudadanos que acudan al Ayuntamiento a los efectos de notificar el cambio de domicilio, para expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 117 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

remitir dicho cambio a la Jefatura Central de Tráfico a los efectos oportunos. Por tanto, la transmisión de los datos a que se refiere la consulta constituye, desde el punto de vista de la Ley Orgánica 15/1999, una cesión de datos de carácter personal, definida por su artículo 3 i) como “Toda revelación de datos realizada a una persona distinta del interesado”. En este caso, sería de aplicación lo dispuesto en el artículo 11 de la Ley Orgánica, cuyo apartado 1 dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Al tratarse de obtener el consentimiento, es preciso analizar si la dicho consentimiento es inequívoco y sí la forma de recabar el consentimiento se ajusta a los criterios de la Agencia Española de Protección de Datos. El artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, señala que “Los Estados miembros dispondrán que el tratamiento de los datos personales sólo pueda efectuarse si: a) el interesado ha dado su consentimiento de forma inequívoca”. Este criterio se recoge en la Ley Orgánica 15/1999, donde define el consentimiento en el 3 h) señalando que es “toda manifestación de voluntad, libre, inequívoco, específico e informado.” Del concepto de consentimiento se desprende la necesaria concurrencia para que el mismo pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto. Un adecuado análisis del concepto exigirá poner de manifiesto cuál es a juicio de esta Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, tal y como la misma ha indicado en numerosas Resoluciones, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa en relación con la materia que nos ocupa. A la luz de dichas recomendaciones, el consentimiento habrá de ser: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 118 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

a)

Libre, lo que supone que el mismo deberá haber sido obtenido sin la

intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil. b)

Específico, es decir referido a un determinado tratamiento o serie de

tratamientos concretos y en el ámbito de las finalidades determinadas, explícitas y legítimas del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999. c)

Informado, es decir que el afectado conozca con anterioridad al

tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen así señala que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. d)

Inequívoco, lo que implica que no resulta admisible deducir el

consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento. A fin de garantizar el carácter libre del consentimiento del afectado es criterio de la Agencia que se habilite al mismo la posibilidad de no prestar dicho consentimiento en el propio modelo de solicitud mediante el establecimiento de un medio sencillo, como sería la marcación de una casilla. Al tratarse de recabar el consentimiento para ceder los datos a tráfico y así poder cambiar el domicilio del afectado en el permiso de circulación o expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 119 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

conducción, sería necesario que se estableciera una casilla, que en ningún caso debe estar previamente marcada, en la que se concretase si el ciudadano que dispone de permiso de conducción o circulación consiente en que se cedan sus datos, a la Jefatura de Tráfico. Además como se trata de recabar el consentimiento para una cesión de datos, será preciso que el mismo permita identificar claramente las finalidades para las que los datos serán objeto de cesión y los destinatarios de los datos, al menos con referencia a su tipo de actividad, tal y como exige el artículo 11.3 de la Ley Orgánica 15/1999 Al propio tiempo, debe recordarse que, tal y como dispone el artículo 11.4 de la Ley Orgánica 15/1999, “El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable” y que el artículo 16 reconoce el derecho de los afectados a ejercitar sus derechos de rectificación y cancelación. En consecuencia, podemos señalar que si el Ayuntamiento recaba el consentimiento de los ciudadanos cumpliendo con los extremos anteriormente señalados la cesión de dichos datos resulta conforme con la Ley Orgánica 15/1999. Por otro lado, está cesión de datos vendría a cumplir con los principio previstos en la Ley 11/2007, de 22 de junio de Acceso electrónico de los ciudadanos al Servicio Público, previstos en el artículo 4 tales como el principio de cooperación, el de simplificación administrativa y como señala el artículo 6.2 b) de la citada Ley “ Los ciudadanos tienen derecho a no aportar los datos y documentos que obren en poder de las Administraciones Públicas, las cuales utilizarán medios electrónicos para recabar dicha información siempre que, en el casi de datos de carácter personal, se cuente con el consentimiento de los interesados en los términos establecidos por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, o una norma de rango de Ley así lo determine, salvo que existan restricciones conforme a la normativa de aplicación a los datos y documentos recabados. El citado consentimiento podrá emitirse y recabarse por medios electrónicos.” Este derecho refleja lo dispuesto en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 120 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia Española de Protección de Datos

artículo 35 de la Ley 30/1992 que señala que los “Los ciudadanos en sus relaciones con las Administraciones Públicas tienen derecho a no presentar documentos que ya se encuentren en poder de la Administración actuante.” Una vez concretada que la cesión será posible, siempre que se obtenga el consentimiento de los ciudadanos, resulta necesario que en el modelo de solicitud, que se adjunta en la consulta como Anexo III, se cumpla con el deber de informar especificando las finalidades para las que se van a ceder los datos, y que las casillas se encuentre suficientemente visible y en ningún caso estén previamente marcadas. A título simplemente ilustrativo, y resultaría conveniente que se cumpla con los requisitos que para los contratos de adhesión se prevén el artículo 15 del Real Decreto 1720/2007, de 21 de diciembre por el que se desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal que reza lo siguiente “Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 121 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

ACCESO POR PARTE DE LA POLICÍA LOCAL A LOS DATOS DE CARÁCTER PERSONAL DE LOS MENORES INCORPORADOS A LOS FICHEROS DE LOS CENTROS ESCOLARES DEL MUNICIPIO Resumen.- La Policía Municipal por propia iniciativa no puede solicitar informes de los menores a los Centros Educativos para la valoración de una situación de desamparo. En todo caso, si tuviera constancia de tal situación debería comunicarlo a la Comisión de Tutela del Menor. La consulta, planteada por la Jefatura de la Policía Local del Ayuntamiento en cuestión, expone que los efectivos policiales acuden a los Centros Escolares solicitando datos de los menores (por lo general, el nombre y domicilio), bien para la prevención y seguimiento de situaciones de riesgo, bien para el esclarecimiento de algún ilícito penal o la prevención de un peligro real que afecte a la seguridad pública. A su vez, la Jefatura de Policía consultante expone sus dudas acerca de si resulta legalmente admisible la elaboración por parte de un Centro Educativo de un Informe, a petición de la propia Policía Local, a fin de obtener datos relevantes para el conocimiento y la valoración de situaciones socio-familiares de riesgo o desamparo que, potencialmente, puedan afectar al menor. PRIMERO.- La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), conforma el marco jurídico de referencia en España que afecta a la protección de datos. En esta Ley se regulan los principios y fundamentos a los que deben ajustarse la recogida y tratamiento de los datos personales por cualquier Institución que precise recabar este tipo de datos para el ejercicio de su actividad. Dicha Ley se complementa, en el ámbito de la Comunidad de Madrid, con la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid. SEGUNDO.- La transmisión de los datos a que se refiere la consulta constituye, desde el punto de vista de la Ley Orgánica 15/1999, una cesión de datos de carácter personal, definida por su artículo 3 i) como “Toda revelación de datos realizada a una persona distinta del interesado”. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 122 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

Tal y como determina el artículo 11.1 de la LOPD, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta regla de consentimiento sólo se verá exceptuada en los supuestos contemplados en el artículo 11.2, entre los que cabe destacar aquellos casos en que una norma con rango de Ley dé cobertura a la cesión. En este sentido, el artículo 1.4 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, señala que, “el mantenimiento de la seguridad pública se ejercerá por las distintas Administraciones Públicas a través de las Fuerzas y Cuerpos de Seguridad”, entre las que se incluyen, según el artículo 2 de la propia Ley “Las Fuerzas y Cuerpos de Seguridad del Estado dependientes del Gobierno de la nación, los Cuerpos de Policía dependientes de las Comunidades Autónomas y los Cuerpos de Policía dependientes de las Corporaciones Locales”. TERCERO.- Por su parte, el artículo 22.2 de la Ley Orgánica de Protección de Datos, se refiere a los ficheros con fines policiales, estableciendo que “La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad”. En consecuencia, a la vista de lo establecido en los preceptos citados, cabe deducir que será admisible la cesión solicitada por cualquiera de las policías a las que se refiere el artículo 2 de la Ley Orgánica 2/1986, de 13 de marzo, si bien quedando la misma limitada al uso derivado de la función de mantenimiento de la seguridad pública. Este criterio impide la cesión o comunicación en bloque de la totalidad de los datos contenidos en los ficheros de los Centros Escolares a la Policía, siendo no expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 123 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

obstante conforme a derecho la cesión concreta de determinados datos, debidamente

individualizados,

cuando

se

solicite

en

el

marco de las

competencias que tenga atribuidas por la Ley Orgánica 2/1986 y se trate de datos sujetos a lo dispuesto en el artículo 22.2 de la Ley Orgánica. A la vista de lo antedicho, cabe concluir que, de acuerdo con los principios de la LOPD, no existe inconveniente para que en el ejercicio de funciones específicas la Policía Local del municipio consultante acceda a los datos contenidos en los ficheros de los Centros Educativos Seguridad, siempre que: - Se asegure que se utilizan únicamente aquellos datos que son adecuados, pertinentes y no excesivos; - La cesión se realice en el marco de expedientes concretos y con necesidades debidamente justificadas, relacionadas con las funciones propias de la Policía; y - Se garanticen la confidencialidad y seguridad de los datos personales. En cualquier caso, la petición deberá dirigirse al responsable del fichero (en este caso el Centro Escolar) de acuerdo con la Ley Orgánica 15/1999, que es el que tiene la posibilidad de decidir sobre el contenido y uso del mismo. En consecuencia, si bien será posible la cesión de datos personales concretos en el seno de una concreta investigación llevada a cabo por las Fuerzas y Cuerpos de Seguridad, la Ley Orgánica 15/1999 no ampara una cesión masiva de datos, ni la creación de un nuevo fichero cuyo responsable sea la propia Policía, debiéndose habilitar los medios técnicos necesarios para que la cesión de datos planteada se realice de acuerdo con las limitaciones que la legislación contempla y a la que se ha hecho referencia en párrafos anteriores. CUARTO.- De otra parte, debe recordarse que, en todo caso, conforme dispone el artículo 11.2 d) de la LOPD, procederá la cesión si ésta "tiene por destinatario...al Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas", dada la obligación de los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 124 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

miembros de la Policía Judicial de poner los datos que hayan sido obtenidos en conocimiento de la Autoridad Judicial o Fiscal. Por ello, para este supuesto concreto, la cesión solicitada tendría amparo no sólo en el artículo 22.2 de la LOPD, sino también en el propio artículo 11.2 d) de la misma, siendo en consecuencia conforme a la Ley Orgánica 15/1999 el cumplimiento de la cesión solicitada. QUINTO.- En conclusión, se considera que la comunicación de datos a los que se refiere el escrito de consulta a favor de la Policía Local de (...) resultará conforme con lo dispuesto por la LOPD, incluso sin la existencia de mandamiento judicial, únicamente en el supuesto en que se acredite la concurrencia de los requisitos a los que se ha hecho referencia anteriormente y, en consecuencia: a) Quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto. De este requisito derivaría la improcedencia de corresponder a la petición de cesión de datos por vía telefónica, así como la necesidad de que dicha petición se curse a través de un soporte documental que permita dejar constancia de la misma, pudiendo bastar a dichos efectos la expedición de un oficio u orden de servicio por parte de la propia policía encargada de la investigación. d) Que, en cumplimiento del artículo 22.4 de la LOPD, los datos sean cancelados "cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento". SEXTO.- A su vez, la comunicación o cesión de datos de carácter personal de los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 125 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

afectados deberá someterse a lo previsto por el artículo 4.2 de la LOPD, cuando prescribe que “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. En consecuencia, la utilización por parte de la Policía Local de los datos cedidos resultará posible siempre y cuando esa utilización se encuentre vinculada, tal y como exige el precepto transcrito, a la finalidad que motiva su recogida. En este caso dicha finalidad será la del desempeño por parte de la Policía de las funciones que le son atribuidas legalmente. SÉPTIMO.- De acuerdo con la fundamentación jurídica expuesta, no resultará conforme con lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, la elaboración por parte de un Centro Educativo de un Informe, a petición de la propia Policía Local, cuya exclusiva finalidad consista en ofrecer a dicha Policía datos relevantes para el conocimiento y la valoración de situaciones sociofamiliares de riesgo o desamparo que potencialmente puedan afectar al menor. De este modo, en orden a la articulación de fórmulas de colaboración dirigidas a la Protección del Menor, la Infancia y la Juventud, las Fuerzas y Cuerpos de Seguridad deberán estar a lo dispuesto por la legislación específica, de ámbito internacional, estatal y autonómica, vigente sobre dicha materia. Así, sin perjuicio de lo previsto por la normativa internacional y, en concreto, de lo dispuesto por la Convención de las Naciones Unidas sobre los Derechos del Niño y la Niña (BOE nº 313, de 31 de diciembre de 1990) y la Declaración Universal de los Derechos del Niño, en el ámbito de la Comunidad Autónoma de Madrid, resultará de aplicación lo dispuesto por la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil, y lo previsto por la Ley Orgánica 5/2000, de 12 de enero, reguladora de la Responsabilidad Penal de los menores. Asimismo, el Órgano consultante deberá estar a lo dispuesto por la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 126 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

Adolescencia de la Comunidad de Madrid, por la Ley 18/1999, de 29 de abril, reguladora de los Consejos de Atención a la Infancia y la Adolescencia de la Comunidad de Madrid, y por la Ley 5/1996, de 8 de julio, de Defensor del Menor de la Comunidad de Madrid. En este sentido, el artículo 14 de la Ley Orgánica 1/1996, de 15 enero, de Protección Jurídica del Menor, indica que las autoridades y servicios públicos tienen obligación de prestar la atención inmediata que precise cualquier menor, de actuar si corresponde a su ámbito de competencias o de dar traslado en otro caso al órgano competente y de poner los hechos en conocimiento de los representantes legales del menor, o cuando sea necesario, del Ministerio Fiscal, y en el artículo 16 se señala que son las entidades públicas competentes en materia de protección de menores las obligadas a verificar y evaluar las situaciones de desprotección que se hayan denunciado, adoptando las medidas necesarias para resolverla. El artículo 18 regula las situaciones de desamparo de menores, señalando que cuando la entidad pública competente considere que el menor se encuentra en situación de desamparo actuará en la forma prevista en el artículo 172 y siguientes del Código Civil, asumiendo la tutela de aquél, adoptando las oportunas medidas de protección y poniéndolo en conocimiento del Ministerio Fiscal. La Comisión de Tutela del Menor es el órgano a través del cual la Comunidad de Madrid ejerce las competencias de protección de los menores, asumiendo su tutela y guarda en virtud de lo establecido en la legislación vigente. El Decreto 198/1998, de 26 de noviembre, regula la composición y funcionamiento de la misma. En resumen, la Policía Municipal por propia iniciativa no podría solicitar informes de los menores a los Centros Educativos para la valoración de una situación de desamparo. En todo caso, si tuviera constancia de tal situación debería comunicarlo a la Comisión de Tutela del Menor.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 127 de 609

INFORMES JURÍDICOS – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 128 de 609

B) PROCEDIMIENTOS SANCIONADORES GESTIÓN INCORRECTA DE LA CALIDAD DE LOS DATOS EN FICHERO MUNICIPAL “MULTAS”. ART. 4.3 LOPD ........................................................................................................... 130 BOLETIN DE DENUNCIAS DE LA POLICIA LOCAL Y RECIBOS DE ARRASTRE DE LA GRUA MUNICIPAL INCUMPLE EL DEBER DE INFORMACIÓN. ART. 5 Y 15 LOPD ............................. 143 AUSENCIA DE INSCRIPCIÓN DE FICHERO PÚBLICO DE VIDEOVIGILANCIA POLICÍA MUNICIPAL. ART. 20 LOPD........................................................................................................... 152 CÁMARAS DE VIDEOVIGILANCIA EN VÍA PÚBLICA .................................................................. 164 LA UTILIZACIÓN DE SISTEMAS DE COMUNICACIÓN RADIOFÓNICA POR LA POLICIA LOCAL NO VULNERA LA LOPD ................................................................................................................ 172

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 129 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

GESTIÓN INCORRECTA DE LA CALIDAD DE LOS DATOS EN FICHERO MUNICIPAL “MULTAS”. ART. 4.3 LOPD Procedimiento Nº AP/00071/2007 RESOLUCIÓN: R/00246/2008 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00071/2007, instruido por la Agencia Española de Protección de Datos a la entidad AYUNTAMIENTO DE HUESCA, vista la denuncia presentada por D. P.P.P., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 26 de abril de 2006, tuvo entrada en esta Agencia un escrito de Don P.P.P. (en lo sucesivo el denunciante), en el que denuncia a la Policía Local del Ayuntamiento de Huesca, porque el 19 de enero de 2006, recibió la notificación de una denuncia correspondiente a una infracción de aparcamiento cometida el 25 de noviembre de 2005, cuando hacía mas de cuatro años que no era titular del vehículo denunciado. Asimismo, manifestó que, en fecha 2 de febrero de 2006, presentó una reclamación ante el Ayuntamiento, solicitando la rectificación de sus datos personales contenidos en los ficheros de la Policía Local, así como la revocación del expediente sancionador, sin haber recibido contestación al respecto. Adjunto a su denuncia aportó copia de la notificación de denuncia, de la solicitud de rectificación ante el Ayuntamiento y del documento de historial de transferencias del vehículo denunciado emitido por la Jefatura de Tráfico. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación oportunas para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos : expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 130 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

a) De la información y documentación aportada por el denunciante se desprende que le fue notificada una denuncia del Ayuntamiento de Huesca por infracción de aparcamiento de fecha 25 de octubre de 2005 del vehículo de matrícula “***###”. Asimismo, se desprende que, con fecha 6 de agosto de 2002, dejó de ser titular del vehículo denunciado. b) De la información facilitada con fecha 28 de julio de/2006 por el Intendente Jefe de la Policía Local de Ayuntamiento de Huesca se desprende que: - El vehículo ***### fue propiedad del Don P.P.P. hasta el día 06/08/2002 y así figuraba en sus ficheros desde el año 2002. - El siguiente propietario jamás cometió una infracción, por lo que no dio lugar al cambio de titularidad. - Al recibir el escrito de Don P.P.P. de inmediato se actualizó la titularidad del vehículo. La denuncia de carácter voluntario fue inmediatamente archivada. - En la actualidad la persona que figura como titular de vehículo es la que figura en la base de datos de tráfico con DNI. xxxx TERCERO: Con fecha 31 de octubre de 2007 el Director de la Agencia Española de Protección de Datos acordó iniciar Procedimiento de Declaración de Infracción de las Administraciones Públicas al AYUNTAMIENTO DE HUESCA por la presunta infracción del artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.d) de dicha norma. CUARTO: Notificado el citado acuerdo de inicio con fecha 09/11/2007, el “Cargo 1” del Ayuntamiento de Huesca presentó alegaciones al mismo en el Servicio de Correos y Telégrafos con fecha 27/11/2007, con registro de entrada en esta Agencia de fecha 03/12/2007, en el además de reiterarse en el contenido del informe emitido por el Intendente de la Policía Local durante las actuaciones previas de inspección, solicitaba el archivo del expediente en base a las expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 131 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

siguientes consideraciones: “Es de destacar que el día 8 de marzo de 2004, el Ayuntamiento solicitó acceso directo a la Base de datos de tráfico sobre la base del Convenio de Colaboración formalizado entre este Ayuntamiento y la Dirección General de Tráfico. Hasta esta fecha, la conexión con los datos de tráfico era enormemente dificultosa ya que se realizaba vía MODEM, lo que bloqueaba los ordenadores y la hacia prácticamente inviable. En el año 2004, y ante la necesidad de actualizar de forma rápida nuestro fichero de vehículos, el Ayuntamiento contrató a dos nuevos funcionarios, con la única función de actualizar los datos de los vehículos en los ficheros municipales para la tramitación de los expedientes sancionadores. Este trabajo se prolongó varios meses, habida cuenta que, por razones de seguridad, la Dirección General de Tráfico sólo permite que el acceso a su base de datos se produzca desde un único Terminal, lo que demora muchísimo los trabajos de comprobación. Hay que tener en cuenta que en este momento constan 61.282 vehículos en el fichero municipal, y la comprobación tiene que hacerse por vehículo de forma individual. En este momento, el Ayuntamiento dispone de los medios materiales e informáticos necesarios para cumplir con exactitud la actualización de datos personales exigidos en la Ley de Protección de datos, lo que ha supuesto un importante esfuerzo y la aportación de medios materiales e informáticos.” QUINTO: Con fecha 29 de noviembre de 2007 el Director de la Agencia Española de Protección de Datos acordó nombrar como Instructora del citado procedimiento de declaración de infracción de Administraciones Publicas a Dña. A.A.A., en sustitución de Dña. B.B.B., y nombrar como Secretario a D. C.C.C., en sustitución de D. D.D.D., haciendo mención a lo establecido en el artículo 29 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y de acuerdo con lo expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 132 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

establecido en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo dispuesto en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Igualmente, acordó la notificación del citado acuerdo al Ayuntamiento de Huesca y al denunciante, siéndoles notificado a ambos dicho acuerdo con fecha 13/12/2007. SEXTO: Con fecha 12 de diciembre de 2007, se acordó por la Instructora del procedimiento la apertura de un período de práctica de pruebas, dándose por reproducidas, a efectos probatorios, las actuaciones y los documentos obrantes en las Actuaciones Previas de investigación señaladas con el número E/00525/200, e incorporar al procedimiento tanto el escrito de alegaciones presentado por el Ayuntamiento de Huesca al acuerdo de inicio como la documentación obrante en el “Registro General de Protección de Datos” de la Agencia Española de Protección de Datos relativa a los ficheros denominados “Multas” e “Infracciones Administrativas Penales” del Área de Seguridad Ciudadana y Protección Civil de ese Ayuntamiento. Igualmente, se acordó solicitar al Ayuntamiento de Huesca justificación documental relativa a la fecha exacta en que se produjo el cambio de titularidad del vehículo matrícula ***### que había pertenecido hasta el 02/08/2002 al denunciante e información sobre el nombre exacto del fichero de titularidad pública en el que se encuadraba dicha información, aportándose mediante escrito de fecha 27/12/2007 por el “Cargo 1” del Ayuntamiento de Huesca informes en los que consta la siguiente información: - El “Cargo 2” de Informática de dicho Ayuntamiento informó con fecha 26/12/2007 que “El nombre del fichero de titularidad pública en el que se recogen los datos de los vehículos y sus titulares es el de “multas”, cuya finalidad es la gestión completa y eficaz de las multas de tráfico ora y ordenanzas.” - El “Cargo 3” de la Policía Local de Huesca informó con fecha 27/12/2007 que la modificación de la titularidad del vehículo ***### en el fichero de MULTAS, “se produjo al día siguiente, 3 de febrero de 2006, de la entrada del escrito de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 133 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

alegaciones de D. P.P.P. el 2 de febrero de 2006. El programa de gestión de multas no permite listar las fechas de modificación de historial de vehículos.” SÉPTIMO: Transcurrido el período de práctica de pruebas, se inició el trámite de audiencia en el que se puso de manifiesto el expediente al presunto responsable a fin de que obtuviese copias del mismo y efectuase alegaciones, sin que conste que dicho Ayuntamiento haya presentado escrito de alegaciones . OCTAVO: Con fecha 20 de febrero de 2008, la Instructora del Procedimiento formula propuesta de resolución en la que propone que por el Director de la Agencia Española de Protección de Datos se dicte resolución por la que se declare que el Ayuntamiento de Huesca ha infringido lo dispuesto en el artículo 4.3 de la LOPD, lo que supone una infracción tipificada como grave en el artículo 44.3.d) de la citada norma. HECHOS PROBADOS PRIMERO: D. P.P.P. denunció que había recibido una multa de aparcamiento del Ayuntamiento de Huesca por una infracción cometida el día 25 de noviembre de 2005 cuando hacía más de cuatro años que no era titular del vehículo matrícula ***###. (Folios 1 y 2) SEGUNDO: El Ayuntamiento de Huesca instruyo procedimiento sancionador a D. P.P.P. con motivo del expediente denuncia *, por posible infracción al RGC 094 02 12 Leve por “Estacionar en lugar habilitado por la Autoridad Municipal como de Estacionamiento con limitación Horaria, sin colocar el distintivo que lo autoriza” el vehículo matrícula ***###, Turismo, marca DAEWOO LANOZ, sobre las 09:35 horas del día 25/10/2005. (Folios 5 y 6) TERCERO: En relación con el expediente *** * el afectado presentó con fecha 2 de febrero de 2006 un escrito ante el Ayuntamiento de Huesca, en el que exponía, entre otros extremos, que desde hacía cuatro años ya no era titular del citado vehículo, conforme había comunicado en su día en Tráfico como en el Ayuntamiento. (Folios 3 y 4)

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 134 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

CUARTO: El denunciante transfirió el vehículo matrícula ***### a otro titular con fecha 06/08/2002, según acredita el apartado “Historial de Transferencias” del documento de la “Jefatura de Tráfico, 4, nº Vehículos” de fecha 10/04/2006 aportado por el afectado. (Folio nº 7). QUINTO: El Ayuntamiento de Huesca figura en el Registro General de Protección de Datos como responsable del fichero de titularidad pública “Multas”, cuya descripción detallada y tipificación de la finalidad y usos previstos se describen como “Gestión completa y eficaz de las multas de tráfico, ora y ordenanzas” y “Seguridad Pública y defensa; Actuaciones de fuerzas y Cuerpos de Seguridad con fines policiales; Procedimiento Administrativo”, respectivamente. (Folios nº 41 al 44 y nº 51) El “Cargo 2” de Informática de dicho Ayuntamiento informó con fecha 26/12/207 que el fichero “Multas” recoge los datos de los vehículos y sus titulares. (Folio 50) SEXTO: Mediante informe de fecha 27/12/2007 el “Cargo 3” de la Policía Local de Huesca indicó que el día 3 de febrero de 2006 se llevó a cabo la modificación de la titularidad del vehículo ***### en el fichero de MULTAS. Tal hecho no ha quedado acreditado documentalmente ya que dicho responsable ha indicado que “El programa de gestión de multas no permite listar las fechas de modificación de historial de vehículos.” (Folio nº 52) FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II En el presente caso se imputa al Ayuntamiento de Huesca la posible comisión de una infracción a lo previsto en el artículo 4 “calidad de los datos” de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 135 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

Personal (en lo sucesivo LOPD), en cuyo apartado 3, recoge lo siguiente: “3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado” La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación. En el presente caso, el Ayuntamiento de Huesca inició un procedimiento sancionador

al

denunciante

por

una

infracción

de

estacionamiento

supuestamente cometida el día 25/10/2005 en el que se recogían los datos correspondientes a su nombre, apellidos, domicilio y localidad de residencia asociándolos a la titularidad del vehículo matrícula ***### que había traspasado con fecha 06/08/2002. De cuanto antecede resulta que el Ayuntamiento de Huesca mantuvo y trató automatizadamente la información de carácter personal obrante en el fichero denominado “Multas” relativa al afectado sin que ésta fuera exacta ni puesta al día, puesto que, al no encontrarse actualizados los datos del titular del vehículo matrícula ***### desde el 06/08/2002, los datos personales del afectado obrantes en dicho fichero no respondían de forma veraz a la situación del mismo, conducta que supone una infracción al trascrito artículo 4.3 de la LOPD. III El “tratamiento” de datos personales exige que se lleve a cabo de conformidad con los principios de “calidad de los datos”, es decir, que los datos tratados han de ser “exactos y puestos al día”, requisitos que no se han cumplido en el caso analizado como, por otra parte, ha sido reconocido por el “Cargo 3” de la Policía Local y el “Cargo 1” del Ayuntamiento de Huesca. El “Cargo 1” del citado Ayuntamiento ha reconocido que el denunciante figuro expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 136 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

desde el año 2002 como titular del vehículo matrícula ***### hasta que el afectado comunicó al Ayuntamiento, con motivo de la iniciación del referido procedimiento sancionador, que el citado vehículo había sido transferido hacía cuatro años, momento en el que se rectificaron los datos relativos al titular del vehículo. Asimismo, en el informe emitido con fecha 27/12/2007 por el “Cargo 3” de la Policía Local de Huesca consta que la modificación de la titularidad del referido vehículo se efectuó en el fichero “Multas” con fecha 03/02/2006. Asimismo, el “Cargo 1” del Ayuntamiento de Huesca ha puesto de manifiesto que a partir del 8 de marzo de 2004 el citado Ayuntamiento adoptó una serie de medidas tendentes a la actualización de los datos de los vehículos en los ficheros municipales para la tramitación de los expedientes sancionadores, consistentes en solicitar un acceso directo a la Base de datos de Tráfico y la contratación de personal, añadiendo que en este momento el Ayuntamiento dispone de los medios materiales e informáticos necesarios para cumplir con exactitud la actualización de datos personales exigidos en la normativa de Protección de Datos. Dichas medidas, sin perjuicio del esfuerzo realizado, no enervan la conducta infractora del Ayuntamiento ya que a fecha 25/10/2005 los datos del denunciante continuaban asociados en el fichero de titularidad municipal “Multas”, del que es responsable ese Ayuntamiento, a la titularidad de un vehículo que fue transferido a un nuevo titular con fecha 06/08/2002, todo ello debido a la falta de actualización de tales datos en el referido fichero. De lo expuesto se evidencia que en el fichero de “Multas” de dicho Ayuntamiento se mantuvieron datos erróneos del denunciante desde el 06/08/2002, fecha de traspaso del vehículo matrícula ***###, hasta, en principio, el día 3 de febrero de 2006, fecha de supuesta modificación de los mismos por los datos personales correspondientes al nuevo titular, según ha afirmado, que no acreditado documentalmente, el “Cargo 3” de la Policía Local de Huesca. IV Debe señalarse, que nos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

encontramos en

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

presencia de un

“derecho

Página 137 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

fundamental” que como tal reconoce la STC 292/2000, de 30 de noviembre, y que recoge, entre otras, la sentencia de la Audiencia Nacional de 2/02/2005, recurso 1299/2002, al decir lo siguiente: “ El derecho fundamental a la protección de datos persigue, en suma, garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino; o dicho de otro modo, del derecho a la intimidad permite excluir ciertos datos de personales del conocimiento ajeno; mientras que el derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Por lo tanto, el objeto de la protección de datos- de aquí su singularidad- es mas amplio que el objeto de la intimidad , pues entre otras cosas, y en lo que ahora nos interesa tiene como contenidos esencial del mismo, el conferir a la persona afectada el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera intimad de la persona y la prohibición de usar de los datos a ella referente: El mismo atribuye a su titular un conjunto de poderes o facultades que se traducen en auténticos deberes para aquellos que utilizan los datos, y que son , esencialmente: el derecho a que se requiera el consentimiento para la recogida y uso de datos personales; el derecho a saber y ser informado sobre el destino y uso de los mismos; y el derecho acceder, rectificar y cancelar dichos datos. Pues solo así se puede garantizar el poder de disposición sobre los datos personales”. Por su parte, la Audiencia Nacional en su Sentencia de 13/04/2005 recoge lo siguiente: . . ,( el resaltado es de la Agencia Española de Protección de Datos). V El artículo 44.3.d) considera infracción grave la siguiente conducta: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”. Hay que tener inconsideración que el principio de “calidad de los datos” se configura como básico en materia de protección de datos, y así se recoge en expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 139 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

numerosas Sentencias de la Audiencia Nacional, entre otras, las de fechas 25/05/2001 y 05/04/2002, y que, en el presente caso, el Ayuntamiento de Huesca ha cometido la infracción descrita, ya que vulneró dicho principio cuando mantuvo en sus ficheros datos de carácter personal del afectado que no eran exactos ni estaban puestos al día y cuando los trató automatizada e indebidamente en la instrucción del procedimiento sancionador que le fue notificado al afectado en el año 2006, a pesar de que no respondían con veracidad a la situación del afectado en esos momentos. Por lo tanto, ha quedado acreditado que el tratamiento de los datos del denunciante realizado por parte del Ayuntamiento de Huesca no ha sido fiel reflejo de la situación que afectaba al denunciante en el momento de los hechos, incurriendo por ello en una vulneración del principio de calidad de datos recogido en el artículo 4.3 de la LOPD, que encuentra su tipificación en el artículo 44.3.d) de la citada Ley Orgánica. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: Declarar que el AYUNTAMIENTO DE HUESCA ha infringido lo dispuesto en el artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, lo que supone una infracción tipificada como grave en el artículo 44.3.d) de la citada norma. SEGUNDO: Requerir al AYUNTAMIENTO DE HUESCA, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 4.3 de la Ley Orgánica 15/1999. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. TERCERO: Notificar la presente resolución al AYUNTAMIENTO DE HUESCA, Plaza de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 140 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

la Catedral 1, 22022 HUESCA y a D. P.P.P., (C/...) CUARTO: Comunicar la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 141 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

Madrid, 2 de abril de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 142 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

BOLETIN DE DENUNCIAS DE LA POLICIA LOCAL Y RECIBOS DE ARRASTRE DE LA GRUA MUNICIPAL INCUMPLE EL DEBER DE INFORMACIÓN. ART. 5 Y 15 LOPD Procedimiento Nº AP/00056/2007 RESOLUCIÓN: R/00352/2008 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00056/2007, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE MISLATA, vista la denuncia presentada por Dª. R.R.R., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 31/10/2006 tiene entrada en esta Agencia un escrito de D.ª R.R.R. (en lo sucesivo la denunciante) en el que denuncia que, el día 20/10/2006, fue objeto de una denuncia por parte de la Policía Municipal de Mislata (Valencia), comprobando que el boletín mediante el cual le fue notificada incumple lo establecido en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como que también incumple la citada normativa el recibo de arrastre de grúa de la misma fecha. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos, ordenó a la Subdirección General de Inspección de Datos el inicio de actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de lo siguiente: a) La denunciante ha aportado originales de dos documentos: el primero, un boletín de denuncia emitido por la Policía Local de Mislata con fecha 20/10/2006 en el que se recogen los datos identificativos del vehículo así como el lugar y expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 143 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

hecho sancionado, además de indicar que el conductor se encuentra “ausente”; y, el segundo, un recibo de arrastre de grúa de la misma fecha en el que se consignan nombre y apellidos de la denunciante así como la matrícula de su vehículo. b) Ninguno de los documentos aludidos en el punto anterior presenta ninguna información relativa sobre la inclusión de sus datos en un fichero, la posibilidad de ejercicio de los derechos de acceso, rectificación, oposición y cancelación así como de la identidad y dirección del responsable del tratamiento. Igualmente, se ha constatado la ausencia de dicha información en los modelos de ejemplares normalizados de dichos documentos remitidos por el Ayuntamiento. c) El Ayuntamiento de Mislata , ha informado, a requerimiento de la Agencia Española de Protección de Datos, que los datos relativos a la denuncias formuladas son incluidos en el fichero denominado “GESPOL”, creado por resolución de la alcaldía de fecha 11/2/2003. Dicho fichero alberga igualmente la información relativa a los tratamientos derivados de la retirada del vehículo, incluyendo los datos de identificación de la persona que procede a su retirada. d) El fichero “GESPOL” alberga información sobre los datos de identificación de la denunciante y matrícula de su vehículo, así como los relativos a la gestión de la denuncia. e) Requerida información al Ayuntamiento de Mislata sobre si, en la comunicación, que se realiza al ciudadano objeto de sanción en el boletín de denuncia y en el documento justificante de la recogida de vehículos, se proporciona a los interesados a los que se soliciten datos personales utilizando cuestionarios u otros impresos los extremos recogidos en los incisos 1 y 2, del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter Personal, no se ha realizado ninguna manifestación al respecto en el informe remitido por el Intendente de la Policía Municipal TERCERO: Con fecha 11/10/2007, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al Ayuntamiento de Mislata por la presunta infracción del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 144 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el apartado d) del artículo 44.2 de dicha norma. CUARTO: Notificado el citado Acuerdo de Inicio de Procedimiento de Declaración de Infracción de Administraciones Públicas, el Ayuntamiento de Mislata presentó escrito de alegaciones en el que, en síntesis, manifestaba que había dado instrucciones para la rectificación inmediata de los modelos empleados para la recogida de datyos de los interesados en relacion con las denuncias de trafico y retirada de vehiculos QUINTO: Con fecha 7/12/2007 se acordó por el Instructor del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/01220/2006, así como las alegaciones y la documental aportada por Ayuntamiento de Mislata. SEXTO: Transcurrido el período de práctica de pruebas, se inició el trámite de audiencia, en el que se puso de manifiesto el expediente al presunto responsable a fin de que obtuviese copias del mismo y alegase lo que estimase oportuno. El Ayuntamiento de Mislata formula alegaciones en las que argumenta lo siguiente: a) El recibo que emite la la grúa cuando realiza la retirada del vehiculo a requerimiento de los Agentes contiene únicamente los datos de la matricula del vehiculo y lugar de retirada. b) Se ha procedido ala modificación de los formularios de forma que en la actualidad contiene información que por la ley se exige SÉPTIMO: Con fecha 26/02/2008, el Instructor del Procedimiento formula Propuesta de Resolución en la que propone que por el Director de la AgenciA Española de Protección de Datos se declare que el que el Ayuntamiento de Mislata ha infringido el artículo 15 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma. El Ayuntamiento de Mislata no ha efectuado alegaciones. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 145 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

HECHOS PROBADOS PRIMERO: Con fecha 31/10/2006, la denunciante denuncia que, el día 20/10/2006, fue objeto de una denuncia por parte de la Policía Municipal de Mislata (Valencia), comprobando que el boletín mediante el cual le fue notificada incumple lo establecido en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como que también incumple la citada normativa el recibo de arrastre de grúa de la misma fecha ( folios 1 a 6). SEGUNDO: La denunciante aportó un “ boletín” de denuncia emitido por la Policía Local de Mislata, con fecha 20/10/2006, en el que se recogen los datos identificativos del vehículo así como el lugar y hecho sancionado, además de indicar que el conductor se encuentra “ausente” ; y un “ recibo” de arrastre de grúa de la misma fecha en el que se consignan nombre y apellidos de la denunciante así como la matrícula de su vehículo ( folio 7 y 8). TERCERO: Ninguno de los documentos aludidos en el punto anterior presenta ninguna información relativa sobre la inclusión de sus datos en un fichero, la posibilidad de ejercicio de los derechos de acceso, rectificación, oposición y cancelación así como de la identidad y dirección del responsable del tratamiento. Igualmente, se ha constatado la ausencia de dicha información en los modelos de

ejemplares

normalizados

de

dichos

documentos

remitidos

por

el

Ayuntamiento ( folio 7 y 8). CUARTO: El Ayuntamiento de Mislata incluye los datos relativos a la denuncias formuladas en el fichero denominado “GESPOL que alberga información relativa a los “tratamientos” derivados de la retirada del vehículo y los datos de identificación de la persona que procede a su retirada así como de los datos de identificación de la denunciante, matrícula de su vehículo y de gestión de la denuncia (folios 26 a 35). QUINTO: El Ayuntamiento de Mislata, requerido sobre si en la comunicación que se realiza al ciudadano en el boletín de denuncia y en el documento justificante de la recogida de vehículos, se proporciona a los interesados en cuestionarios u expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 146 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

otros impresos los extremos recogidos en los incisos 1 y 2, del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, no se ha realizado ninguna manifestación al respecto en el informe remitido por el Intendente de la Policía Municipal (folio37) FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II La Ley 15/1999, de 13 de diciembre, de Protección de Datos ( en lo sucesivo LOPD) en su artículo 5 , en sus apartados 1, 2 y 3, indica: “1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 147 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.” III La LOPD en su articulo 3 define como: “b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. En el presente caso, ha quedado probado que el Ayuntamiento de Mislata para la gestión de multas y retirada de vehículos incluye los datos relativos a la denuncias formuladas en el fichero denominado “GESPOL que alberga información relativa a los “tratamientos” derivados de la retirada del vehículo y de los datos de identificación de la persona que procede a su retirada así como de los de identificación de los denunciados, matrícula de su vehículo y de gestión de la denuncia. También, el Ayuntamiento de Mislata ha reconocido en el“ boletín” de denuncia emitido por la Policía Local, en el que se recogen los datos identificativos del vehículo así como del lugar y hecho sancionado, además de indicar, en su caso, el conductor y en el “ recibo” de arrastre de grúa de la misma fecha en el que se consignan nombre y apellidos del denunciante así como la matrícula de su expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 148 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

vehículo, en ninguno de los documentos aludidos presenta ninguna información relativa sobre la inclusión de sus datos en un fichero, de la posibilidad de ejercicio de los derechos de acceso, rectificación, oposición y cancelación así como de la identidad y dirección del responsable del tratamiento. Igualmente, se ha constatado la ausencia de dicha información en los modelos de ejemplares normalizados de dichos documentos remitidos por el Ayuntamiento. Tal omisión por parte del Ayuntamiento de Mislata supone una infracción al artículo 5 de la LOPD IV El Ayuntamiento alega que el recibo que emite la la grúa cuando realiza la retirada del vehiculo a requerimiento de los Agentes contiene únicamente los datos de la matricula del vehiculo y lugar de retirada. La LOPD en su articulo 3 define como: “a) Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables”. Y “c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que

resulten

de

comunicaciones,

consultas,

interconexiones

y

transferencias”. El n.º de matricula de un vehiculo es un dato de carácter personal al poder, sin medios desproporcionados, identificar a la persona de su titularidad. La normativa vigente, sólo excepciona de la obligación prevista en el articulo 5 de la LOPD, cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales, y ninguna de estas excepciones son propias de la normativa sobre seguridad vial. V expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 149 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

El artículo 44.2.d) de la LOPD considera infracción leve: “Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.” De acuerdo con el argumento anterior, ha quedado acreditado que el Ayuntamiento de Mislata no facilitaba la información que exige el artículo 5 de la LOPD, y su actuación tampoco se encuentra entre las recogidas por el artículo 24.1 de la LOPD como las relacionadas excepciones para facilitar la información a los interesados en la recogida de sus datos. Por ello procede declarar que el Ayuntamiento de Mislata ha incurrido en la conducta descrita. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que AYUNTAMIENTO DE MISLATA ha infringido lo dispuesto en el artículo 15 de la LOPD, tipificada como leve en el artículo 44.2.d) de de la citada Ley Orgánica. SEGUNDO: REQUERIR al AYUNTAMIENTO DE MISLATA, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 15 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE MISLATA, en Plaza. Constitución, 8 - 46920 Mislata (Valencia) y a D.ª R.R.R. con domicilio en (C/……………………………….). CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 150 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 2 de abril de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 151 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

AUSENCIA DE INSCRIPCIÓN DE FICHERO PÚBLICO DE VIDEOVIGILANCIA POLICÍA MUNICIPAL. ART. 20 LOPD Procedimiento Nº AP/00037/2008 RESOLUCIÓN: R/01490/2008 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00037/2008, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE A CORUÑA, vista la denuncia presentada por el MOVEMENTO POLOS DEREITOS CIVIS, y en base a los siguientes, ANTECEDENTES PRIMERO: Con fechas 13 de noviembre de 2006, 26 de marzo, 20 de junio, 28 de junio y 4 de octubre de 2007 y 25 de enero y 14 de abril de 2008, tuvieron entrada en esta Agencia escritos de Don X.X.X. como coordinador del MOVEMENTO POLOS DEREITOS CIVÍS (en lo sucesivo el denunciante), en los que denuncia al Ayuntamiento de A Coruña por haber instalado cámaras de vídeo vigilancia en diversos lugares públicos de dicha localidad. El denunciante manifestó que resulta desproporcionada la instalación de cámaras como medidas de seguridad, por considerar dichos emplazamientos como lugares seguros y tranquilos y que no cuentan con las autorizaciones necesarias para la instalación del tal sistema de vigilancia. Asimismo, manifestó haber tenido conocimiento a través del periódico “La Opinión”, del control al que fueron sometidos, por parte de la Policía Municipal, los funcionarios municipales que se manifestaron durante meses en la plaza de (... ..), realizando informes a raíz de las identificaciones de los trabajadores. Adjunto a su denuncia aportó copia de un artículo del diario “La Opinión” en el que aparece una fotografía de una vídeo cámara ubicada en la estación de autobuses de la localidad, así como de otro artículo del mismo periódico en el que se pone de manifiesto la existencia de una denuncia penal de la junta de personal contra responsables del ayuntamiento por la elaboración de informes relativos a los manifestantes por parte de la policía local. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 152 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

Por último, denunció que el Ayuntamiento no tiene inscrito en el Registro General de Protección de Datos el “Fichero de videovigilancia” ni cumple con la obligación de informar. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. De la documentación aportada por el Ayuntamiento de A Coruña se desprende que las videocámaras instaladas en distintos emplazamientos públicos son utilizadas o lo van a ser cuando entren en funcionamiento por la Policía Municipal del Ayuntamiento de A Coruña, quedando dentro del ámbito de la Ley Orgánica 4/1997 de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos. 2. Asimismo, el Ayuntamiento de A Coruña informó que “El fichero “videocámaras de la Policía Local” se incluyó en la disposición aprobada por el Pleno de 20 de diciembre de 2004. La aprobación de esta disposición se publicó en el Boletín Oficial de la Provincia 11 de febrero de 2005…” y remitió copia de la resolución de la Delegación del Gobierno en Galicia, por el que se autoriza el uso de este sistema integrado de videovigilancia y anuncio del Boletín Oficial de la Provincia. 3. El Boletín Oficial de la Provincia dispone el anuncio de la aprobación inicial de ficheros de carácter personal dependientes del Ayuntamiento de A Coruña, entre los que consta “g) Fichero Videocámaras Policía Local”. 4. En relación con la elaboración de informes relativos a los manifestantes por parte de la Policía Local, dichos hechos fueron denunciados en el ámbito penal, aportando el representante del Ayuntamiento copia del auto del Juzgado Instrucción nº 0A de ... ..., por el que se acuerda el archivo del procedimiento. También aporta copia del escrito de respuesta dado por el Ayuntamiento al requerimiento del juez de instrucción. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 153 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

De dichos documentos se desprende que la recogida de datos de los manifestantes se refiere a un hecho puntual que ocurre el 14 de junio de 2006, en el momento en el que el Alcalde pide a la policía municipal que identifique a los manifestantes por si sus actuaciones dieran lugar a una valoración penal o disciplinaria de los hechos. No existe documentación que pudiera indicar la existencia de tales informes o “listas negras” sobre los manifestantes. 5. Con fecha 29 de octubre de 2007, la Inspección de Datos accedió al Registro General de Protección de Datos no obteniendo información relativa a ficheros inscritos por el Ayuntamiento de A Coruña cuya finalidad esté relacionada con el sistema de videovigilancia o grabación de imágenes. TERCERO: Con fecha 12 de junio de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al Ayuntamiento de A Coruña por la presunta infracción del artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el apartado c del artículo 44.2. de dicha norma. CUARTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas, en fecha 14 de julio de 2008, el Ayuntamiento de A Coruña presentó escrito de alegaciones en el que, en síntesis, manifestaba que: “Que, en fecha 20 de diciembre de 2004, el Pleno del Ayuntamiento de A Coruña aprobó, mediante disposición de carácter general, entre otros, el fichero denominado

“Video-cámaras

Policía

Local”,

como

responsable

de

su

tratamiento. - Que en fecha 11 de febrero de 2005, se procedió a la publicación en el Boletín Oficial de la Provincia… el antedicho fichero. - … en fecha 29 de enero de 2007(se remitió a la Agencia Española de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 154 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

Protección de Datos) … con el fin de inscribir el citado fichero en el Registro General de Protección de Datos, se procedió a la correspondiente notificación - … La Agencia Española de Protección de Datos el día 16 de abril de 2007 se resolvió archivar la solicitud de inscripción en el Registro General de Protección de Datos… argumentándose… “que el solicitante no presentó la correspondiente copia de la disposición general por la que se regulaba la creación del fichero notificado … no se adecuaba a lo establecido en el artículo 20 de la Ley Orgánica 15/1999 - Que en fecha… 10 de julio de 2008, se envió al Boletín Oficial de la Provincia copia completa de las disposiciones de carácter general de creación de ficheros aprobadas por el Pleno… con el fin de subsanar la deficiencia en la inscripción notificada por la Agencia. - Que una vez que aparezca publicadas las disposiciones en el Boletín Oficial de la Provincia. se procederá a la notificación correspondiente de éste, y otros nueve ficheros, a la Agencia Española de Protección de Datos para que, si lo considera oportuno, lleve a cabo la inscripción en el Registro General de Protección de Datos”. El Ayuntamiento solicitó el archivo del procedimiento por entender que “se trata de una irregularidad de carácter meramente formal que se encuentra en estos momentos pendiente de subsanación”. Con fecha 1 de septiembre de 2008, el MOVEMENTO POLOS DEREITOS CIVÍS presentó alegaciones en las que insistió en que las cámaras enclavadas en la estación de autobuses fueron instaladas con anterioridad al 2 de noviembre de 2006, que el Ayuntamiento las instaló “…con la autorización de la Delegación del Gobierno, mediante resolución emitida en fecha 19 de febrero de 2007…. (y) sin la previa autorización de la Delegación, sin informar de quien custodiaba las imágenes, como ejercer el derecho de acceso”. Asimismo, aportó copia de un artículo del diario “La Opinión” en el que aparece una fotografía de una vídeo cámara ubicada en la estación de autobuses de la localidad.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 155 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

En base a todo ello solicitó que “… se acuerde imponer sanción al Ayuntamiento de A Coruña proceder a instalar cámaras en la estación de autobuses de la ciudad sin contar con la previa autorización de la Delegación del Gobierno”. QUINTO: Con fecha 16 de julio de 2008, se acordó por el Instructor del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/01194/2006, así como la documental aportada por el Ayuntamiento de A Coruña en sus alegaciones al acuerdo de inicio. Con fecha 1 de septiembre se incorporó al procedimiento el fax remitido por el Ayuntamiento de A Coruña, con fecha 28 de agosto de 2008, por el que notificaba que “habiendo realizado los trámites reglamentarios oportunos para la inscripción del fichero en cuestión… hemos podido constatar a través de la página web de la Agencia Española de Protección de Datos que, tras la actualización llevada a cabo el 27 de agosto de 2008 de los ficheros inscritos en el Registro General de Protección de datos, figura, entre los ficheros bajo responsabilidad del Ayuntamiento de A Coruña, el fichero “vide-cámaras Policía Local”, con lo que, entendemos, se subsana la deficiencia que motivó el inicio del expediente sancionador por parte de la Agencia”. SEXTO: Con fecha 29 de septiembre de 2008, se envió propuesta de Resolución, en el sentido de que por el Director de la Agencia Española de Protección de Datos se declarase que el Ayuntamiento de A Coruña ha incumplido lo establecido en el artículo 20 de la LOPD, infracción tipificada como leve en el artículo 44.2.c) de la citada Ley Orgánica, dándose traslado para alegaciones. Con fecha 23 de octubre de 2008, el Ayuntamiento de A Coruña formuló alegaciones en las que manifestó que: - “… como ha quedado acreditado en los antecedentes de la propuesta de resolución… en fecha 25 de agosto de 2008, fue inscrito en el Registro General de Protección de Datos el fichero “Vídeo-cámaras Policía Local”, con lo que se entiende subsanada la infracción leve establecida en el artículo 44.2.c) de la LOPD. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 156 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

- Que dicha subsanación es previa a la propuesta de resolución. - Que, en el caso de hacerse firme la propuesta de resolución sancionadora, y el Ayuntamiento de A Coruña una Administración pública, le sería de aplicación el artículo 46 de la LOPD, no desprendiéndose, ni de los antecedentes ni de la propuesta de resolución, la existencia de hechos que, por su gravedad, pudiesen implicar que el Director de la Agencia propusiera medidas de mayor alcance que las que posibiliten “el cese o la corrección de los efectos de la infracción…” Por todo ello, reiteró la solicitud del archivo del expediente. HECHOS PROBADOS PRIMERO: Con fechas 13 de noviembre de 2006, 26 de marzo, 20 de junio, 28 de junio y 4 de octubre de 2007 y 25 de enero y 14 de abril de 2008, tuvieron entrada en esta Agencia escritos de Don X.X.X. como coordinador del MOVEMENTO POLOS DEREITOS CIVÍS en los que denuncia al Ayuntamiento de A Coruña por haber instalado cámaras de vídeo vigilancia en diversos lugares públicos de dicha localidad, manifestando que resulta desproporcionada la instalación de cámaras como medidas de seguridad y que el Ayuntamiento no tiene inscrito en el Registro General de Protección de Datos el “Fichero de videovigilancia” ni cumple con la obligación de informar (folios 1-8, 17-19, 25-42, 44-60, 64-73, 83-86 y 89-103) . SEGUNDO: De la documentación aportada por el Ayuntamiento de A Coruña se desprende que las videocámaras instaladas en distintos emplazamientos públicos son utilizadas por la Policía Municipal del Ayuntamiento de A Coruña, quedando dentro del ámbito de la Ley Orgánica 4/1997 de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos (folios 1113, y 105-107). TERCERO: El Ayuntamiento de A Coruña es responsable del fichero de nombre “Fichero de videocámaras de Policía Local” (folios 11 y 127) CUARTO: El fichero “videocámaras de la Policía Local” se incluyó en la disposición expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 157 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

aprobada por el Pleno del Ayuntamiento de A Coruña de 20 de diciembre de 2004. La aprobación de esta disposición se publicó en el Boletín Oficial de la Provincia 11 de febrero de 2005 y se remitió copia de la resolución de la Delegación del Gobierno en Galicia, por el que se autoriza el uso de este sistema integrado de videovigilancia y anuncio del Boletín Oficial de la Provincia. El Boletín Oficial de la Provincia dispone el anuncio de la aprobación inicial de ficheros de carácter personal dependientes del Ayuntamiento de A Coruña, entre los que consta “g) Fichero Videocámaras Policía Local” (folios 11-15). QUINTO: El Ayuntamiento de A Coruña remitió copia del auto del Juzgado Instrucción nº 0A de ... ..., por el que se acuerda el archivo del procedimiento. También aportó copia del escrito de respuesta dado por el Ayuntamiento al requerimiento del juez de instrucción. De dichos documentos se desprende que la recogida de datos de los manifestantes se refiere a un hecho puntual que ocurrió el 14 de junio de 2006 (folios 74-81). SEXTO: Con fecha 29 de octubre de 2007, la Inspección de Datos accedió al Registro General de Protección de Datos no obteniendo información relativa a ficheros inscritos por el Ayuntamiento de A Coruña cuya finalidad esté relacionada con el sistema de videovigilancia o grabación de imágenes (folios 108-113). SÉPTIMO: Con fecha 26 de junio de 2008, la Subdirección General del Registro General de Protección de Datos informó que “Se ha procedido a revisar el Anuncio en el Boletín Oficial de la Provincia, de fecha 11 de febrero de 2005… del Ayuntamiento de A Coruña por el que se aprobó la creación de ficheros, entre ellos el “Fichero de videocámaras de Policía Local”, pudiendo comprobar que dicho Anuncio no se ajusta a lo señalado en el artículo 20.2 de la LOPD, por lo que no se dispone de información suficiente para proceder a realizar la inscripción de oficio del mencionado fichero” (folio 127). OCTAVO: Con fecha 29 de septiembre de 2008, la Instructora del procedimiento ha verificado que, con fecha 25 de agosto de 2008, consta inscrito en el Registro General de Protección de Datos el fichero “VIDEO-CAMARAS POLICIA LOCAL” del que es responsable el Ayuntamiento de A Coruña (folios 138-139). expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 158 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II En primer lugar conviene analizar las alegaciones efectuadas por el Movemento en sus alegaciones efectuadas al acuerdo de inicio, en las que solicitó que se acordara imponer sanción al Ayuntamiento de A Coruña por haber instalado las cámaras de videovigilancia en la estación de autobuses con anterioridad al 2 de noviembre de 2006, sin contar con la preceptiva autorización de la Delegación del Gobierno, ya que dicha resolución fue emitida en fecha 19 de febrero de 2007. Sin embargo, no ha quedado acreditado que dichas cámaras estuvieran activas con anterioridad la preceptiva autorización de la Delegación del Gobierno, por lo tanto, dicha alegación debe ser desestimada. En cualquier caso, de la documentación aportada por el Ayuntamiento de A Coruña

se

desprende

que

las

videocámaras

instaladas

en

distintos

emplazamientos públicos son utilizadas por la Policía Municipal del Ayuntamiento de A Coruña, quedando dentro del ámbito de la Ley Orgánica 4/1997 de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos. III Se imputa al AYUNTAMIENTO DE A CORUÑA de una infracción del artículo 20 de la LOPD que señala que: “1. La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 159 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

“Boletín Oficial del Estado” o diario oficial correspondiente. 2. Las disposiciones de creación o de modificación de ficheros deberán indicar: a) La finalidad del fichero y los usos previstos para el mismo. b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. c) El procedimiento de recogida de los datos de carácter personal. d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. f) Los órganos de las Administraciones responsables del fichero. g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. 3. En las disposiciones que se dicten para la supresión de los ficheros se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción” Dicha infracción aparece tipificada como leve en el artículo 44.2.c) de la LOPD que considera como tal “No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave”. En el presente caso, ha quedado acreditado que, al menos desde el 14 de junio de 2006, fecha de la recogida de los datos de los manifestantes por parte de las videocámaras de la Policía Local, el Ayuntamiento de A Coruña utilizó el fichero de datos de carácter personal denominado “VIDEO-CAMARAS POLICIA LOCAL” expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 160 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

sin que dicho fichero hubiera sido inscrito en el Registro General de Protección de Datos hasta el día 25 de agosto de 2008. Por lo tanto, está acreditado que el Ayuntamiento de A Coruña creó un fichero de titularidad pública y procedió a iniciar la recogida de datos de carácter personal con anterioridad a la inscripción en el Registro General de Protección de Datos, conducta que supone la vulneración del articulo 20 de la LOPD. IV El Ayuntamiento de A Coruña alegó en su defensa que, en el transcurso del presente procedimiento, procedió a la inscripción del fichero en el Registro General de Protección de Datos, por lo que entiende que se ha subsanado la infracción. Sin embargo, hay que señalar que la infracción se ha producido puesto que creó un fichero de titularidad pública y procedió a iniciar la recogida de datos de carácter personal con anterioridad a la inscripción. Por lo tanto, dicha alegación debe ser desestimada. V El artículo 44.2.c) de la LOPD tipifica de infracción leve: “No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave”. El Ayuntamiento de A Coruña ha incurrido en la infracción descrita, al haber procedido a crear un fichero de titularidad pública y comenzó a recoger datos de carácter personal desde, al menos, el mes de junio de 2006, con anterioridad a la inscripción en el Registro General de Protección de Datos. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 161 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

PRIMERO: DECLARAR que Ayuntamiento de A Coruña ha infringido lo dispuesto en el artículo 20 de la LOPD, tipificada como leve en el artículo 44.2.c de de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE A CORUÑA, con domicilio en Palacio de María Pita, 1 - 15001 A CORUÑA (A Coruña) y al MOVEMENTO POLOS DEREITOS CIVIS, con domicilio en (C/ ...). TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 162 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 6 de noviembre de 2008 Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 163 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

CÁMARAS DE VIDEOVIGILANCIA EN VÍA PÚBLICA Expediente Nº: E/00453/2008 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos ante la entidad el AYUNTAMIENTO DE VIGO en virtud de denuncia presentada ante la misma por MOVEMENTO POLO DEREITOS CIVÍS y en base a los siguientes, HECHOS PRIMERO: Con fechas 27 de diciembre de 2007 y 01/04/2008, tuvieron entrada en esta Agencia un escrito del Movemento Polo Dereitos Civís (en lo sucesivo el denunciante) en el que ponía de manifiesto que, en fecha 13/9/2007, fue publicado en el diario “El Faro de Vigo” que la contratación del servicio de estacionamiento

regulado

con

la

empresa

adjudicataria

del

concurso

convocado por el Ayuntamiento de Vigo incluye la instalación de veinte videocámaras para controlar el estacionamiento en el centro de la ciudad, afirmando que la instalación de dichas cámaras debería cumplir con el principio de proporcionalidad y de mínima intervención, así como con los requisitos que se exigen para la instalación de cámaras por las Fuerzas y Cuerpos de Seguridad del Estado. Asimismo manifiesta que, mediante escrito de fecha 19/9/2007, se solicitó al Ayuntamiento de Vigo que no se procediese a la instalación de las videocámaras y que, en caso de su instalación, se realizara con las garantías suficientes y conforme a la legalidad, y solicita a esta Agencia que se informe al Ayuntamiento de Vigo de los requisitos que debe reunir la instalación de este tipo de cámaras. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: La Junta de Gobierno Local del ayuntamiento de Vigo, en la sesión ordinaria de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 164 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

26 de diciembre de 2006, acordó aprobar los Pliegos de Cláusulas Administrativas y Prescripciones Técnicas aplicables a la adjudicación del contrato de gestión indirecta

del

servicio

público

del

estacionamiento

regulado

mediante

expendedores de tickets en vía pública - En el citado Pliego de Cláusulas consta que el contrato tiene por objeto limitar el tiempo de permanencia en las plazas de estacionamiento situadas en las vías de las áreas urbanas de mayor demanda de accesibilidad. En el apartado “V DESCRIPCIÓN DEL SERVICIO”, punto 8, del citado Pliego se indica que el sistema propuesto deberá poder operar con visión artificial y un mínimo de 12 cámaras. - El Ayuntamiento aportó certificación, de fecha 23 de mayo de 2007, según la cual la empresa adjudicataria del contrato fue DORNIER S.A. y contrato firmado con dicha empresa de 14 de junio de 2007. Aportó igualmente copia parcial de la documentación técnica aportada por DORNIER S.A. para participar en el concurso en la que figuran unas mejoras consistentes en un incremento de ocho cámaras, por lo que finalmente el número de cámaras contratadas asciende a veinte. El sistema está dotado de tecnología de visión artificial, que permite: - La detección y medición de tiempos de estacionamiento de los vehículos. - Detección de vehículos circulando en dirección contraria. - Medición de la rotación de plazas, mediante el conteo de las entradas y salidas de un viario concreto. - Envío de la información en tiempo real al Centro de Control para su distribución al vigilante mas cercano. - Como consecuencia de un escrito presentado ante el Ayuntamiento por el Movemento Polo Dereitos Civís se emitió un informe jurídico, con fecha 24 de octubre de 2007, sobre la legalidad de la instalación del sistema de cámaras, por expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 165 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

del Área de Movilidad, Seguridad, Tráfico, Transportes y Extinción de incendios. De dicho informe, se puede destacar: - Se establece como finalidad única del sistema de videocámaras el control de aspectos relacionados con el tráfico rodado en la red viaria municipal. - Se indica que no es de aplicación la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad Ciudadana en lugares públicos, pues la instalación de videocámaras para el control, regulación, vigilancia y disciplina del tráfico rodado en la red viaria municipal que no están incluidas en el concepto de seguridad, prevención y persecución del delito, por lo que no requieren de autorización previa de la Comisión de Videovigilancia y pueden ser autorizadas directamente por el Ayuntamiento. - Añade que el sistema de videovigilancia estará sometido a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y a la Instrucción 1/2006 de la Agencia Española de Protección de Datos, por lo que se deberá cumplir con el deber de informar, inscribir el fichero en la Agencia Española de Protección de Datos y respetar el principio de proporcionalidad. Y que, a fin de cumplir con el principio de proporcionalidad no grabarán sonido y tendrán limitado su ángulo de acción, sin que pueda grabarse en el interior de las viviendas. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD). II expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 166 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

El Movemento Polo Dereitos Civís, en primer lugar, indica en su escrito de denuncia que el sistema de videocámaras que será instalado en el municipio de Vigo para el control del tráfico deberá cumplir los requisitos que se recogen en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad Ciudadana en lugares públicos. Sin embargo tal y como se desprende del informe jurídico, de fecha 24 de octubre de 2007, del Área de Movilidad, Seguridad, Tráfico, Transportes y Extinción de Incendios, el sistema de videocámaras que se instalará con motivo del desarrollo y cumplimiento del contrato de gestión indirecta del servicio público del estacionamiento regulado mediante expendedores de tickets en la vía pública tiene como única finalidad el control del tráfico, por lo que no se encuentra sometido al régimen de autorizaciones previsto en la Ley Orgánica 4/1997 ni al control de la Comisión de Videovigilancia Si bien, hay que señalar que la Disposición Adicional Octava de la citada Ley Orgánica 4/1997 establece que “la instalación y uso de videocámaras y de cualquier otro medio de captación y reproducción de imágenes para el control, regulación, vigilancia y disciplina del tráfico se efectuará por la autoridad encargada de la regulación del tráfico a los fines previstos en el texto articulado de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por Real Decreto Legislativo 339/1990, de 2 de marzo, y demás normativa específica en la materia, y con sujeción a lo dispuesto en la Leyes Orgánica

5/1992,

de

29

de

octubre,

de

Regulación

del

Tratamiento

Automatizado de Datos de Carácter Persona (en la actualidad LOPD) y 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, en el marco de los principios de utilización de las mismas previstos en esta ley”. En consecuencia, la captación de imágenes a través de cámaras instaladas por la autoridad competente para el control y regulación del tráfico deberá cumplir los requisitos exigidos en la LOPD. En este caso, de las actuaciones practicadas se desprende que el sistema de videocámaras no ha entrado en funcionamiento y que se tiene previsto cumplir con los requisitos que impone la LOPD en cuanto al deber de informar, inscripción expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 167 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

de ficheros y principio de proporcionalidad. III En segundo lugar, debe señalarse, en lo relativo a la solicitud que formula el Movemento Polo Dereitos Civís referente a que esta Agencia facilite al Ayuntamiento de Vigo información acerca de los requisitos que debe reunir la instalación y uso de videocámaras para el control, regulación, vigilancia y disciplina del tráfico, que en marzo de 2008 se informó a la Federación Española de Municipios y Provincias de los requisitos necesarios para la instalación y uso de videocámaras que con la citada finalidad capten o reproduzcan imágenes de personas. En concreto se indicaba que se deberían cumplir las siguientes previsiones: - Cumplir con el deber de informar a los afectados. A estos efectos, se deberá informar de la ubicación de las cámaras, resultando suficiente con una información en la página web del Ayuntamiento reflejando la situación de las mismas. - Cumplir con el deber de inscribir los ficheros en el Registro General de Protección de Datos, salvo en el caso de que el tratamiento consista exclusivamente en la reproducción o emisión de imágenes en tiempo real. Se inscribirá un fichero por Ayuntamiento no por cámara. - Se deberán adoptar las medidas necesarias para garantizar la seguridad de los datos que deberán quedar reflejadas en un documento de seguridad. Los ficheros y tratamientos que se deriven de tales sistemas revisten, en principio, nivel básico, por lo que las medidas que se adopten deberán comprender las medidas de nivel básico especificadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Para este caso concreto ya que el Ayuntamiento de Vigo ha contratado con una tercera empresa la prestación del servicio público de estacionamiento regulado, debe añadirse, que, de acuerdo con lo dispuesto en el artículo 12 de la LOPD, si expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 168 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

la empresa adjudicataria del contrato DORNIER S.A. accede a las imágenes que captan las cámaras tendrá la consideración de encargado del tratamiento y se deberá reflejar en un contrato que figure por escrito o en alguna otra forma que permita acreditar su celebración y contenido la obligación de DORNIER S.A. de tratar únicamente los datos conforme a las instrucciones del Ayuntamiento, responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, que los comunicará, ni siquiera para su conservación, a otras personas. Asimismo se deberán establecer las medidas de seguridad que la empresa está obligada a implementar y que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al Ayuntamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento. Tales previsiones se encuentran, asimismo, recogidas en la Disposición adicional trigésimo primera de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público que determina, en sus apartados 1 y 2, lo siguiente: “1. Los contratos regulados en la presente Ley que impliquen el tratamiento de datos de carácter personal deberán respetar en su integridad la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo. 2. Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquél tendrá la consideración de encargado del tratamiento. En este supuesto, el acceso a esos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en el artículo 12.2 y 3 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, las previsiones del artículo 12.2 de dicha Ley deberán constar por escrito. Cuando finalice la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento que ésta hubiese designado.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 169 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

El tercero encargado del tratamiento conservará debidamente bloqueados los datos en tanto pudieran derivase responsabilidades de su relación con la entidad responsable del tratamiento”. Por lo tanto, de acuerdo con lo señalado, Por el Director de la Agencia Española de Protección de Datos, SE ACUERDA: 1. PROCEDER AL ARCHIVO de las presentes actuaciones. 2. NOTIFICAR la presente Resolución a AYUNTAMIENTO DE VIGO con domicilio enPraza do Rei nº1 - 36202 Vigo (Pontevedra) y a MOVEMENTO POLO DEREITOS CIVÍS con domicilio en (C/...) De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento

Administrativo

Común,

los

interesados

podrán

interponer,

potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 170 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia Española de Protección de Datos

el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la citada LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 27 de Noviembre de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 171 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

LA UTILIZACIÓN DE SISTEMAS DE COMUNICACIÓN RADIOFÓNICA POR LA POLICIA LOCAL NO VULNERA LA LOPD ANTECEDENTE DE HECHOS PRIMERO.- El 01/02/2009 tiene entrada en el Registro de documentos de la Agencia de Protección de Datos de la Comunidad de Madrid denuncia presentada por D. XXX poniendo de manifiesto, en síntesis, lo siguiente: •

Que los vehículos oficiales de la Policía Municipal del Ayuntamiento de Madrid vienen utilizando como zona de estacionamiento de sus vehículos las calles …. y … de Madrid.



Que estos vehículos utilizan la emisora de radio para sus comunicaciones, manteniéndola encendida toda la noche a un volumen suficiente para que sean escuchadas las comunicaciones desde su vivienda en un cuarto piso situado en la zona.



Que desde su vivienda escucha datos relativos a matrículas, marcas y modelos de vehículos, datos personales del propietario, DNI, domicilios... etc.



Que la divulgación de esos datos puede suponer la vulneración de lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

SEGUNDO.- Con fecha 11/12/2008 desde la Subdirección General de Inspección y Tutela se remite escrito dirigido al Área de Gobierno de Seguridad y Movilidad del Ayuntamiento de Madrid, poniendo en conocimiento la apertura del expediente de referencia y requiriéndoles para la emisión de informe en relación con las siguientes cuestiones: Indique si la información que se transmite a través de sus emisoras de radio queda gravada y almacenada en algún fichero de datos personales, o se trata únicamente

de

transmisión

de

información

a

través

de

sistemas

de

comunicación. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 172 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

Confirmen que la información realizada a través de las emisoras de radio de la Policía Municipal tiene como destinatarios únicamente a los miembros de la misma. Cualquier otra información que pueda resultar de utilidad para la resolución del presente expediente. TERCERO.- En fecha de 29/12/2008 tiene entrada en el Registro de documentos de la Agencia de Protección de Datos de la Comunidad de Madrid, informe firmado por el Director General de Seguridad del Ayuntamiento de Madrid, poniendo de relieve lo siguiente, que a continuación se resume: Que la operativa y uso de la emisora de radio de la Policía Municipal de Madrid es una herramienta de apoyo imprescindible para la realización y ejecución de tareas con fines policiales, viniendo refrendadas éstas por la legislación. Concretamente por la L.O. 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad en los siguientes artículos: Artículo 2.c): Son Fuerzas y Cuerpos de Seguridad los Cuerpos de Policía Local dependientes de las Corporaciones Locales. Artículo 11 que recoge como misión de las Fuerzas y Cuerpos de Seguridad del Estado la protección del libre ejercicio de los derechos y libertades y garantizar la seguridad ciudadana, estableciendo las funciones para ello. Que para la realización de las funciones asignadas por la Ley a las Fuerzas y Cuerpos de Seguridad se hace imprescindible el uso de una herramienta como la radio digital Tetra, que llevan instalados todos los vehículos de la Policía Municipal, así como los dispositivos de radio de uso personal utilizados por el personal policial del servicio. La escucha de este tipo de dispositivos no puede ser interceptada y la simple escucha desde la vía pública no puede del todo ser evitada, dado el especial servicio prestado por la policía, y que por razones operativas estos dispositivos nunca pueden ser desconectados. Que hasta la implantación del Sistema Cisem en el año 2008, las conversaciones expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 173 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

de audio quedaban grabadas en un dispositivo que no añadía información estructurada necesaria para que los datos quedaran accesibles. Desde la implantación del referido Sistema Cisem el dispositivo grabador se conecta a aplicaciones informáticas, permitiendo de forma rápida y estructurada acceder a las grabaciones, motivo por el que se propone la declaración de un fichero de datos de carácter personal denominado ACTUACIONES POLICIALES que incluye el audio generado en las conversaciones policiales, habiendo sido ya abordada esta cuestión por la Dirección General de Calidad y Atención al Ciudadano del Ayuntamiento de Madrid, poniendo este extremo en conocimiento de la Agencia de Protección de Datos de la Comunidad de Madrid. Que el uso de los dispositivos de grabación está estrictamente limitado a los efectivos de la Policía Municipal y la cancelación de los datos tiene lugar cuando éstos han dejado de servir para la finalidad de la investigación policial. FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia de Protección de Datos de la Comunidad de Madrid, conforme a lo dispuesto en el artículo 12.2 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid y en el artículo 10.1 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de las funciones de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal , en relación con los artículos 41.1 y 37 g) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD). II Los hechos denunciados ponen de manifiesto la circunstancia de que las comunicaciones realizadas a través de los sistemas de radio de la Policía Municipal son escuchadas desde el domicilio de un particular, cuando los dispositivos policiales se sitúan cercanos al mismo. En este sentido podría expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 174 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

considerarse que la denuncia se basa en la posible existencia de una cesión de datos por parte de la Policía Municipal. El artículo 3 i) de la LOPD define la cesión o comunicación de datos como toda revelación de datos realizada a una persona distinta del interesado, y el artículo 11 del mismo texto legal regula los requisitos a los que debe ajustarse toda cesión de datos, estableciendo en su apartado 1 que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Considerando que efectivamente las comunicaciones que realiza la Policía Municipal a través del sistema de radio digital Tetra forma parte de la realización de las funciones de seguridad que les asigna la L.O. 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, y que la circunstancia de que el denunciante pueda escuchar el contenido de las comunicaciones que se producen entre los distintos efectivos es debido al volumen en que éstos se comunican, se debe concluir que la información trasmitida por la Policía es conocida por el denunciante de una forma absolutamente casual. No existe por parte de las Fuerzas Municipales ninguna actuación dirigida a comunicar a terceras personas la información que se intercambian los distintos efectivos. Por otro lado se ha de tener que en cuenta que el uso de los dispositivos de radio por parte de la policía Municipal es necesario para el desarrollo de sus funciones de protección del libre ejercicio de los derechos y libertades de los ciudadanos, así como la garantizar la seguridad ciudadana. El artículo 22 de la LOPD reconoce la existencia de ficheros especiales de las Fuerzas y Cuerpos de Seguridad, estableciendo lo siguiente: 1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley. 2. La recogida y tratamiento para fines policiales de datos de carácter personal expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 175 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad. 3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales. 4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad. Des esta forma, partiendo de que los datos personales comunicados a través de los sistemas de radio de la Policía local sirven al desarrollo de las funciones encomendadas por la Ley a los Cuerpos y Fuerzas de Seguridad, éstos son legítimamente tratados por la Policía Local, tratamiento que implica también la cancelación de la información cuando ha dejado de servir para la investigación que se realice, tal como se afirma en el informe remitido por la Dirección General de Seguridad del Ayuntamiento de Madrid. III El artículo 2 de la LOPD, establece su ámbito de aplicación en relación a los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 176 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

datos de carácter personal registrados en soporte físico que los haga susceptible de tratamiento, por lo que se limita al tratamiento de datos que se encuentren almacenados en un fichero, con independencia de su soporte. La transmisión de datos a través medios radiofónicos sólo estará dentro del ámbito de aplicación de la LOPD en el caso de que se extraigan de un fichero o se comuniquen con destino a su incorporación en un fichero. Atendiendo a la información facilitada por la Dirección de Seguridad del Ayuntamiento de Madrid, a partir del momento en que se ha implantado el Sistema Cisem, que permite al dispositivo grabador la conexión a aplicaciones informáticas que permiten de forma rápida y estructurada acceder a las grabaciones, se comunicó a esta Agencia el inicio del procedimiento para la declaración de un fichero de datos de carácter personal denominado ACTUACIONES POLICIALES que incluye el audio generado en las conversaciones policiales. IV De la documentación obrante en el expediente y de las actuaciones practicadas no es posible deducir que la utilización de sistemas de comunicación radiofónica para la realización de las funciones de la Policía Local, cuando éstas puedan ser escuchadas por un ciudadano, vulnera lo previsto en la legislación sobre protección de datos, motivo por el que debe procederse al archivo de las presentes actuaciones previas. Vistos los preceptos citados y demás de general de aplicación, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid, RESUELVE: PRIMERO: DECLARAR el archivo de las presentes actuaciones. SEGUNDO: NOTIFICAR la presente resolución al

la Dirección General de

Seguridad del Área de Gobierno de Seguridad y Movilidad del Ayuntamiento de Madrid. TERCERO: ADVERTIR que contra esta resolución, que pone fin a la vía expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 177 de 609

PROCEDIMIENTOS SANCIONADORES – POLICIA LOCAL Agencia de Protección de Datos de la Comunidad de Madrid

administrativa (artículo 14.3 de la Ley 8/2001, de 13 de julio, de Protección de Datos en la Comunidad de Madrid), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, según la redacción dada por la Ley 4/1999, de 13 de enero, que la modifica, podrá interponer potestativamente recurso de reposición ante el Director de la Agencia de Protección de Datos de la Comunidad de Madrid en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante los Juzgados de lo Contencioso Administrativo.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 178 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

III) EMPLEADOS PÚBLICOS

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 179 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

A) INFORMES JURÍDICOS COMUNICACIÓN DEL COMPLEMENTO DE PRODUCTIVIDAD DE FUNCIONARIOS, LEY HABILITANTE................................................................................................................................. 181 PUBLICACIÓN EN INTERNET DE LOS DATOS DE LOS MIEMBROS DE MESAS ELECTORALES. ............................................................................................................................. 185 ACCESO A LISTADOS DE PERSONAL DE LA POLICÍA MUNICIPAL POR SECCIÓN SINDICAL. ......................................................................................................................................................... 189 CESIÓN A ADMINISTRACIÓN LOCAL DE DATOS DE UN FUNCIONARIO PARA LA TRAMITACIÓN DE UN PROCEDIMIENTO DISCIPLINARIO – LICITUD. ...................................... 193 CUESTIONES RELATIVAS AL ACCESO Y POSIBILIDAD DE COMUNICACIÓN DE DIFERENTES DATOS REFERIDOS A LA PLANTILLA DE FUNCIONARIOS POR LA CORPORACIÓN MUNICIPAL. .................................................................................................................................... 198 PUBLICACIÓN DE RELACIONES DE PUESTOS DE TRABAJO DE UN AYUNTAMIENTO EN EL BOLETÍN DE LA COMUNIDAD DE MADRID ................................................................................. 203 PUBLICACIÓN EN FORMATO PDF A TRAVÉS DE LA INTRANET DE UN AYUNTAMIENTO DE UN LISTADO DEL CENSO ELECTORAL ELABORADO CON MOTIVO DE LAS ELECCIONES SINDICALES ................................................................................................................................... 208 CESIÓN DE DATOS POR PARTE DE UN AYUNTAMIENTO A REPRESENTANTES SINDICALES ......................................................................................................................................................... 216

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 180 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

COMUNICACIÓN DEL COMPLEMENTO FUNCIONARIOS, LEY HABILITANTE

DE

PRODUCTIVIDAD

DE

La consulta plantea si resulta conforme a las previsiones contenidas en la Ley Orgánica 11/1999, de 13 de diciembre de Protección de Datos de Carácter personal, la comunicación de las cantidades que percibe cada funcionario en concepto de productividad a los demás funcionarios del organismo, a los representantes sindicales y a la Junta de Personal. I Como punto de partida es preciso señalar que la transmisión planteada implica la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado.” Tal y como indica el artículo 11.1 de la Ley Orgánica 15/1999 “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, no sería preciso contar con el consentimiento del afectado en caso de que una norma con rango de Ley habilite la cesión prevista, tal y como dispone el artículo 11.2 a) de la Ley. La posibilidad de cesión de datos de los funcionarios a los representantes sindicales,

y

como consecuencia

de

la

excepción

de

prestación

del

consentimiento en los supuestos en que una Ley así lo permita (artículo 11.2.a), debe ponderarse con el legítimo ejercicio de las funciones de control que se atribuyen por la Ley a los órganos de representación colectiva. Por el concreto ámbito subjetivo referido al personal funcionario de una Administración Pública, a que la consulta se refiere, la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, en su artículo 39.1 establece que “los órganos de representación de los funcionarios son los Delegados de Personal y las Juntas de Personal”, según proceda.” Por otro lado, en el artículo 40 enumera las expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 181 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

funciones atribuidas a las Juntas de Personal y a los Delegados de Personal, incluyéndose entre las mismas, no sólo la recepción de información, sino también “vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, prevención de riesgos laborales, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes” (artículo 40.1.e.). Por su parte, el artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, establece el carácter público de las Relaciones de Puestos de Trabajo, si bien las mismas, no contendrán, a la vista del contenido exigido por el artículo 15.1 b), los datos del personal concreto que ocupe un determinado puesto de trabajo, sino exclusivamente las características de cada uno de los puestos de trabajo existentes en cada Dependencia Administrativa, siendo los datos personales referidos a cada funcionario público, de acceso restringido a éste último, a tenor de lo dispuesto en el artículo 13.5, párrafo segundo de la propia Ley 30/1984. Se hace preciso, en consecuencia, cohonestar las atribuciones conferidas a los Delegados de Personal o a las Juntas de Personal en la Ley 7/2007 con la protección otorgada a los datos de carácter personal, regulada en la Ley Orgánica 15/1999, para la posible cesión de esos datos. Pues bien, a nuestro juicio, la función de vigilancia y protección de las condiciones de trabajo, atribuida a las Juntas de Personal por la Ley 7/2007 puede llevarse a adecuado desarrollo sin necesidad de proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta de Personal, será posible la cesión del dato específico de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha, a nuestro juicio, mediante la cesión a la Junta de Personal de información debidamente disociada, según el procedimiento definido en el artículo 3 f) de la Ley Orgánica 15/1999, que permita a aquélla conocer las expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 182 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto. En consecuencia, procederá, en caso de haber sido formalmente solicitada, la cesión de los datos solicitados, siempre que los mismos sean cedidos de forma disociada, sin poder referenciar los datos a personas identificadas o identificables. En caso contrario, deberá recabarse el consentimiento de los interesados, conforme exigen los artículos 11 y 21 de la Ley Orgánica 15/1999. Lo anteriormente indicado únicamente quedará exceptuado en lo referente al complemento de productividad, respecto del cual debe recordarse que el artículo 23.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, tras definir en su apartado c) el citado complemento, indica en el último párrafo de este apartado que “en todo caso, las cantidades que perciba cada funcionario por este concepto serán de conocimiento público de los demás funcionarios del Departamento u Organismo interesado así como de los representantes sindicales”. De igual modo, el artículo 9. 4 de la Ley 9/1987,de 12 de junio , de órganos de representación, determinación de las condiciones de trabajo, y participación del personal al servicio de las Administraciones Públicas, atribuye a las Juntas de Personal y Delegados de Personal, en su caso, la facultad de “Tener conocimiento y ser oídos en las siguientes cuestiones y materias: c) Cantidades que perciba cada funcionario por complemento de productividad.” La conclusión de cuanto antecede es la de que no se necesita el consentimiento de cada funcionario del organismo consultante para comunicar las

cantidades

individualizadas

que

perciben

por

el

complemento

de

productividad, por cuanto dicha posibilidad viene amparada en una Ley habilitante, ajustándose dicha comunicación a lo dispuesto por el artículo 11. 2 a) de la Ley Orgánica 15/1999. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal,

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 183 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 184 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

PUBLICACIÓN EN INTERNET DE LOS DATOS DE LOS MIEMBROS DE MESAS ELECTORALES. La consulta plantea si resulta conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la publicación en el sitio feb del contenido de las actas del pleno municipal del Ayuntamiento. Esta cuestión ya ha sido resuelta por la Agencia Española de Protección de Datos, en el informe de 20 de diciembre de 2004, donde se establecía que: “Como cuestión previa, debe recordarse que el artículo 2.1 de la Ley Orgánica 15/1999 delimita en su párrafo primero su ámbito objetivo de aplicación, al disponer que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, según el artículo 3 a) de la Ley, “Cualquier información concerniente a personas físicas identificadas o identificables”. De este modo, es preciso aclarar que, sin perjuicio de lo dispuesto en otras leyes, el presente informe se limitará a analizar la conformidad con lo dispuesto en la Ley Orgánica 15/1999 de la publicación de los datos de carácter personal que resulten de las mencionadas actas. Dicho lo anterior, la publicación en Internet de los datos contenidos en las actas de los Plenos y Juntas de Gobierno del Ayuntamiento constituye una cesión o comunicación de datos de carácter personal, definida por el artículo 3 j) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. En relación con las cesiones de datos, prescribe el artículo 11.1 de la Ley Orgánica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 185 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

cesionario con el previo consentimiento del interesado”, No obstante, no será necesario el consentimiento de los afectados cuando la comunicación se encuentre amparada por una norma con rango de Ley (artículo 11.2 a) o cuando se refiera a datos incorporados en fuentes accesibles al público (artículo 11.2 b). A tal efecto, son fuentes accesibles al público, según el segundo inciso del artículo 3 j) “exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. Pues bien, respecto de la publicidad de las actividades municipales, el artículo 70 de la Ley reguladora de las Bases del Régimen Local, en la redacción dada al mismo por la Ley 57/2003, de 16 de diciembre. dispone lo siguiente: “1. Las sesiones del Pleno de las corporaciones locales son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. No son públicas las sesiones de la Junta de Gobierno Local. 2. Los acuerdos que adopten las corporaciones locales se publican o notifican en la forma prevista por la Ley. Las ordenanzas, incluidos el articulado de las normas de los planes urbanísticos, así como los acuerdos correspondientes a éstos cuya aprobación definitiva sea competencia de los entes locales, se publicarán en el "Boletín Oficial" de la provincia y no entrarán en vigor hasta que se haya publicado completamente su texto y haya transcurrido el plazo previsto en el artículo 65.2 salvo los presupuestos y las ordenanzas fiscales que se publican y entran en vigor en los términos establecidos en la Ley 39/1988, de 28 de diciembre, Reguladora de las Haciendas Locales. Las Administraciones públicas con competencias urbanísticas deberán tener, a disposición de los ciudadanos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 186 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

que lo soliciten, copias completas del planeamiento vigente en su ámbito territorial. 3. Todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de las corporaciones locales y sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105, párrafo b), de la Constitución. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada.” Del tenor del precepto transcrito se desprende que la Ley determina la publicidad del contenido de las sesiones del Pleno, pero en ningún caso de la Junta de Gobierno, añadiendo el régimen de publicación en los Boletines Oficiales de los acuerdos adoptados. De este modo, únicamente sería conforme con lo dispuesto en la Ley Orgánica 15/1999 la comunicación de datos, mediante su inclusión en Internet, cuando dichos datos se refieran a actos debatidos en el Pleno de la Corporación o a disposiciones objeto de publicación en el correspondiente Boletín Oficial, dado que únicamente en estos supuestos la cesión se encontraría amparada, respectivamente, en una norma con rango de Ley o en el hecho de que los datos se encuentran incorporados a fuentes accesibles al público. En los restantes supuestos, y sin perjuicio de lo dispuesto en otras Leyes, la publicación únicamente sería posible si se contase con el consentimiento del interesado o si los datos no pudieran en ningún caso, vincularse con el propio interesado, cuestión ésta que, como se indicó, puede resultar sumamente compleja, dadas las características del Municipio en cuestión, por cuanto un número reducido de datos, incluso sin incluir los meramente identificativos del afectado, podría identificar a aquél.” En virtud de lo expuesto, podemos señalar que sólo se podrán hacer públicos, datos personales si previamente si tiene el consentimiento de los interesados. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 187 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

No obstante, dado que los datos que se hacen públicos son los referidos a los nombres y apellidos de los miembros que van a componer las mesas electorales, resulta necesario acudir a la Ley Orgánica 5/1985, de 19 junio, reguladora del Régimen Electoral General en la que se establece en el artículo 26 relativo, a la formación de las Mesas Electorales, que “la formación de las Mesas compete a los Ayuntamientos, bajo la supervisión de las Juntas Electorales de Zona. 2. El Presidente y los vocales de cada Mesa son designados por sorteo público

entre

la

totalidad

de

las

personas

censadas

en

la

Sección

correspondiente, que sean menores de sesenta y cinco años y que sepan leer y escribir. El Presidente deberá tener el título de Bachiller o el de Formación Profesional de segundo Grado, o subsidiariamente el de Graduado Escolar o equivalente. 3. Se procede de la misma forma al nombramiento de dos suplentes para cada uno de los miembros de la Mesa. 4. Los sorteos arriba mencionados se realizarán entre los días vigésimo quinto y vigésimo noveno posteriores a la convocatoria.” En consecuencia, dado que la Ley Orgánica Del Régimen Electoral dispone que el sorteo a través del cual ha de designarse al Presidente y vocales y suplentes de las mesas electorales, es público, resulta conforme al artículo 11.2 a) de la Ley Orgánica 15/1999, la publicación en Internet de los nombres de aquellos que hayan salido designados como Presidente, vocales y suplentes de las mesas electorales.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 188 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

ACCESO A LISTADOS DE PERSONAL DE LA POLICÍA MUNICIPAL POR SECCIÓN SINDICAL. La consulta remite documentación a los efectos

de disponer los

elementos oportunos para atender la petición de informe solicitada con anterioridad. No obstante, la consulta ya fue atendida y respondida en fecha de 5 de febrero de 2008, señalando que: “La consulta plantea, si pueden comunicarse los datos solicitados por la Unión Sindical de la Policía Local, conjuntamente con Comisiones Obreras, de conformidad con la Ley Orgánica 15/1999, de 13 de enero de Protección de Datos de Carácter Personal. Según se desprende del contenido de la consulta, la Unión Sindical conjuntamente con Comisiones Obreras, requiere que le sean facilitados los listados del personal del Cuerpo de la Policía Local a los que se les han sido certificados complementos de turnicidad y nocturnidad, y los que hayan realizados servicios de libre disponibilidad con indicación de los días en los que se hayan realizados dichos servicios. Con carácter previo, conviene señalar que, en la materia que nos ocupa, la única cesión prevista de los datos referentes a los trabajadores sería la derivada de las facultades atribuidas a los representantes de los trabajadores es decir, al Comité de Empresa, a los Delegados de Personal o a la Junta de personal, según proceda. En ese caso, debe indicarse que la comunicación de datos solicitada constituye, conforme a lo dispuesto en el articulo 3 i) de la citada Ley Orgánica, una cesión de datos de carácter personal, definida como "Toda revelación de datos efectuada a persona distinta del interesado". Tal y como determina el articulo 11.1 de la Ley Orgánica 15/1999, "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y del cesionario con el previo consentimiento expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 189 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

del interesado". Esta regla de consentimiento sólo se verá exceptuada en los supuestos contemplados en el articulo 11.2, entre los que cabe destacar aquellos casos en que una norma con rango de Ley dé cobertura a la cesión, o cuando se trate de datos recogidos de fuentes accesibles al público, (artículo 11.2 a y b). En este caso, nos encontraremos ante un supuesto de cesión de datos de carácter personal incorporados a ficheros de titularidad pública, respecto de los cuales, el artículo 21.3 de la Ley Orgánica 15/1999, previene que “no obstante lo establecido en el artículo 11.2

b), la comunicación de datos recogidos de

fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa”. En consecuencia, dado que entendemos que no existe un previo consentimiento a la cesión, ésta será únicamente posible en los supuestos en que así lo prevean las normas con rango de ley que regulan el régimen retributivo del personal al servicio de las Administraciones Públicas. En este sentido, considerando el ámbito subjetivo referido

a personal

funcionario de una Administración Pública como puede ser el personal funcionario del cuerpo de Policía Local, la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, en su artículo 39.1 establece que “los órganos de representación de los funcionarios son los Delegados de Personal y las Juntas de Personal”, según proceda. Por otro lado, en el artículo 40 enumera, las funciones atribuidas a las Juntas de Personal y a los Delegados de Personal, incluyéndose entre las mismas, no sólo la recepción de información, sino también “vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, prevención de riesgos laborales, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes” (artículo 40.1.e.). Por su parte, el artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, establece el carácter público de las Relaciones de Puestos de Trabajo, si bien las mismas, no contendrán, a la vista del contenido exigido por el artículo 15.1 b), los datos del personal concreto que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 190 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

ocupe un determinado puesto de trabajo, sino exclusivamente las características de cada uno de los puestos de trabajo existentes en cada Dependencia Administrativa, siendo los datos personales referidos a cada funcionario público, de acceso restringido a éste último, a tenor de lo dispuesto en el artículo 13.5, párrafo segundo de la propia Ley 30/1984. Se hace preciso, en consecuencia, cohonestar las atribuciones conferidas a los Delegados de Personal o a las Juntas de Personal en la Ley 7/2007 con la protección otorgada a los datos de carácter personal, regulada en la Ley Orgánica 15/1999, para la posible cesión de esos datos. Pues bien, a nuestro juicio, la función de vigilancia y protección de las condiciones de trabajo, atribuida a las Juntas de Personal por la Ley 7/2007 puede llevarse a adecuado desarrollo sin necesidad de proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta de Personal, será posible la cesión del dato específico de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha, a nuestro juicio, mediante la cesión a la Junta de Personal de información debidamente disociada, según el procedimiento definido en el artículo 3 f) de la Ley Orgánica 15/1999, que permita a aquélla conocer las circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto. En consecuencia, procederá, en caso de haber sido formalmente solicitada, la cesión de los datos solicitados, siempre que los mismos sean cedidos de forma disociada, sin poder referenciar los datos a personas identificadas o identificables. En caso contrario, deberá recabarse el consentimiento de los interesados, conforme exigen los artículos 11 y 21 de la Ley Orgánica 15/1999. De lo anteriormente indicado, puede concluirse que los mencionados preceptos no prevé la obligación de comunicar a la Unión Sindical ni a los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 191 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

representantes de los trabajadores, las cantidades percibidas en concepto de turnicidad y nocturnidad ni la aquellos que hayan realizado servicios de libre disponibilidad. Por tanto al no resultar de aplicación la excepción contenida en el artículo 11. 2 a) de la Ley Orgánica, por no existir una norma con rango de Ley que de cobertura a que se faciliten los nombres y apellidos de los policías que cobren turnicidad y nocturnidad ni la aquellos que hayan realizado servicios de libre disponibilidad, se exigirá recabar el consentimiento de los interesados para que la comunicación de los datos objeto de consulta se ajustara a las disposiciones reguladoras de la protección de datos personales En consecuencia, la cesión solicitada por la Unión sindical de la Policía Local conjuntamente con Comisiones Obreras, resultará contraria a lo previsto en la Ley Orgánica 15/1999, salvo que todos los funcionarios hubiesen otorgado previamente el consentimiento para dicha cesión”

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 192 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

CESIÓN A ADMINISTRACIÓN LOCAL DE DATOS DE UN FUNCIONARIO PARA LA TRAMITACIÓN DE UN PROCEDIMIENTO DISCIPLINARIO – LICITUD. La consulta plantea si resulta conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la transmisión por la Universidad consultante al instructor de un procedimiento disciplinario tramitado por una determinado Ayuntamiento y que en la actualidad se encuentra en fase de información previa, de determinados datos referidos al funcionario contra el que se tramita el citado procedimiento, a fin de que por el órgano instructor se resuelva finalmente la apertura del citado procedimiento. La transmisión así planteada implica la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. En relación con las cesiones, el artículo 11.1 de la Ley indica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, este consentimiento no será preciso, según el artículo 11.2 a) en caso de que una norma con rango de Ley habilite la cesión. La mencionada causa habilitadora se encuentra aclarada por el artículo 10.2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, según el cual será posible el tratamiento o comunicación de los datos sin contar con el consentimiento del afectado cuando “Lo autorice una norma con rango de Ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes: - El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 193 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

diciembre. - El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas”. El sujeto contra el que se dirige el procedimiento, según se indica en la consulta, tiene la condición de funcionario de la corporación en cuyo seno se tramita aquél, siéndole así de aplicación lo dispuesto en la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, cuyo artículo 93.1 dispone que “Los funcionarios públicos y el personal laboral quedan sujetos al régimen disciplinario establecido en el presente Título y en las normas que las Leyes de Función Pública dicten en desarrollo de este Estatuto”. Añade el artículo 98.1 que “no podrá imponerse sanción por la comisión de faltas muy graves o graves sino mediante el procedimiento previamente establecido”, disponiendo el artículo 98.2 que “el procedimiento disciplinario que se establezca en el desarrollo de este Estatuto se estructurará atendiendo a los principios de eficacia, celeridad y economía procesal, con pleno respeto a los derechos y garantías de defensa del presunto responsable”. Concluye este precepto estableciendo que “en el procedimiento quedará establecido la debida separación entre la fase instructora y la sancionadora, encomendándose a órganos distintos”. Por otra parte, en el ámbito de la Comunidad valenciana, debe estarse al texto refundido de la Ley de la Función Pública, aprobado por Decreto Legislativo de 24 de octubre de 1985, cuyo artículo 54 dispone que “Se hace extensivo al personal funcionario de la Generalitat Valenciana el régimen disciplinario establecido por la normativa del Estado”. De este modo, la tramitación del procedimiento disciplinario deberá garantizar los principios fundamentales del procedimiento y las garantías del derecho sancionador, previstas igualmente en el Estatuto Básico del Empleado Público. Estos principios, en el ámbito de la Administración general del Estado se expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 194 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

garantizar en el régimen establecido en el Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del Estado, aprobado por Real decreto 33/1986, de 10 de enero. Si bien sus disposiciones no son aplicables al supuesto analizado sí habrán de tenerse en cuenta las medidas que el citado Reglamento impone

como

garantías

del

funcionario

durante

la

tramitación

del

procedimiento, y que se corresponden con las garantías generales impuestas por la Ley 30/1992 para el procedimiento administrativo. En particular, el citado Reglamento prevé en su artículo 28 que “El órgano competente para incoar el procedimiento, podrá acordar previamente la realización de una información reservada”. En este sentido, el artículo 69.2 de la Ley 30/1992 dispone que “. Con anterioridad al acuerdo de iniciación, podrá el órgano competente abrir un período de información previa con el fin de conocer las circunstancias del caso concreto y la conveniencia o no de iniciar el procedimiento”. Al propio tiempo, el artículo 34.1 establece que “El Instructor ordenará la práctica de cuantas diligencias sean adecuadas para la determinación y comprobación de los hechos y en particular de cuantas pruebas puedan conducir a su esclarecimiento y a la determinación de las responsabilidades susceptibles de sanción”, reflejándose así lo dispuesto en el artículo 78.1 de la Ley 30/1992, a cuyo tenor “los actos de instrucción necesarios para la determinación, conocimiento y comprobación de los datos en virtud de los cuales deba pronunciarse la resolución, se realizarán de oficio por el órgano que tramite el procedimiento, sin perjuicio del derecho de los interesados a proponer aquellas actuaciones que requieran su intervención o constituyan trámites legal o reglamentariamente establecidos”. De lo dispuesto en las normas que se han venido reproduciendo cabe desprender que, por una parte, será posible la realización de actuaciones previas de investigación tendentes al esclarecimiento de los hechos, a fin de conocer si efectivamente procederá la apertura del correspondiente procedimiento disciplinario. Al mismo tiempo, en caso de no obtenerse estas informaciones en la fase previa de investigación, el órgano instructor podría requerir durante la tramitación del procedimiento las citadas informaciones, en cuanto resulten expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 195 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

relevantes para el mencionado esclarecimiento, siempre con respeto a las garantías esenciales del procedimiento, establecidas tanto por la Ley 7/2007 como por la Ley 30/1992. De este modo, la negativa a la transmisión de la información durante las actuaciones previas a la iniciación del procedimiento, siendo así que dicha información deberá facilitarse a solicitud del instructor durante la tramitación del procedimiento

en

caso

de

acordarse

su

inicio,

llevaría

aparejada

la

consecuencia de que pudiera procederse a la apertura del procedimiento disciplinario sin constar los suficientes indicios a fin de que los mismos fueran transmitidos durante la tramitación de aquél, en perjuicio del propio funcionario, que debería pechar con las cargas derivadas de la apertura del procedimiento. De este modo, puede considerarse que la comunicación de los datos durante la tramitación de la información previa a la eventual iniciación de un procedimiento disciplinario se encontraría amparada por los artículos 93 y 98 de la Ley 7/2007, lográndose así la garantía de los derechos del funcionario. Al propio tiempo, debe recordarse que el instructor deberá respetar los principios de la Ley Orgánica 15/1999 en relación con los datos así facilitados. Así, en particular, debe recordarse que el artículo 4.1 de la Ley Orgánica dispone que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”, añadiendo el artículo 4.2 que “los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. Ello supone que la información que hubiera sido obtenida por el instructor en la tramitación de la información previa a la eventual iniciación del expediente disciplinario únicamente podría ser empleada para los fines que justificaron dicha cesión; es decir, la determinación de la procedencia de la apertura del procedimiento disciplinario y la tramitación del mismo en caso de que así se acordase, no pudiendo ser empleada para ninguna otra finalidad distinta de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 196 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

mencionada. En este sentido, debe recordarse que el artículo 53.12 de la Ley 7/2007 dispone que los empleados públicos “guardarán secreto de las materias clasificadas u otras cuya difusión esté prohibida legalmente, y mantendrán la debida discreción sobre aquellos asuntos que conozcan por razón de su cargo, sin que puedan hacer uso de la información obtenida para beneficio propio o de terceros, o en perjuicio del interés público”.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 197 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

CUESTIONES RELATIVAS AL ACCESO Y POSIBILIDAD DE COMUNICACIÓN DE DIFERENTES DATOS REFERIDOS A LA PLANTILLA DE FUNCIONARIOS POR LA CORPORACIÓN MUNICIPAL. La consulta plantea diferentes cuestiones relativas al acceso y posibilidad de comunicación de diferentes datos de carácter personal referidos a la plantilla de funcionarios por la corporación municipal a la organización sindical consultante y su adecuación a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. Con carácter previo, conviene señalar que, en la consulta viene planteada por un Delegado sindical de un determinado sindicato, sin informar si el mismo tiene representación en los órganos de representación sindical del Ayuntamiento al que se solicitan los datos, razón por la cual sólo procederá la cesión de datos a dicha sección sindical en caso de que sus representantes formen parte de los órganos de representación del personal en el citado Ayuntamiento o, en su defecto, cuando los trabajadores hayan prestado su previo consentimiento a la misma. Sentados así los términos, como regla general, la cesión de los indicados datos

por

parte

del

Ayuntamiento

a

una

organización

sindical

con

representatividad en el mismo supone una cesión de datos de carácter personal disponiendo el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Entre las excepciones a la necesidad de ese consentimiento recogidas en el artículo 11.2 se encuentra el que la cesión se encuentre autorizada por una Ley. En la materia que nos ocupa, al tratarse de datos relativos a la plantilla de personal funcionario de una corporación municipal, se analizará la cuestión expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 198 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

desde el supuesto en el que el personal se encuentre vinculado a la corporación municipal por una relación estaturaria de derecho administrativo, es decir, que dicho personal tenga la condición de personal funcionario. En este supuesto, la Ley 9/1987, 12 de junio de 1987, de Regulación de los órganos de representación, determinación de condiciones de trabajo y participación de los funcionarios públicos, enumera en su artículo 9, las funciones atribuidas a las Juntas de Personal, incluyéndose entre las mismas, no sólo la recepción de información, sino también, “tener conocimiento y ser oídos en las siguientes cuestiones y materias: a) Establecimiento de la jornada laboral y horario de trabajo, b) Régimen de permisos, vacaciones y licencias, c) Cantidades que perciba cada funcionario por complemento de productividad” (artículo 9.4); “conocer, al menos, trimestralmente, las estadísticas sobre el índice de absentismo y sus causas, los accidentes en acto de servicio y enfermedades profesionales y sus consecuencias, los índices de siniestralidad, los estudios periódicos o especiales del ambiente y las condiciones de trabajo, así como de los mecanismos de prevención que se utilicen”. (artículo 9.5); “vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes” (artículo 9.6) y “vigilar y controlar las condiciones de seguridad e higiene en el desarrollo del trabajo” (artículo 9.7). En informes emitidos por esta Agencia Española de Protección de Datos antes cuestiones similares a las planteadas en la consulta, en relación con personal funcionario, esta Agencia ha señalado lo siguiente: Con carácter preliminar debe precisarse que la comunicación de cualquier dato de los anteriormente indicados, en cuanto incorpore la identificación de cualquier persona física o se refiera a cualquier información personal correspondiente a las mismas, implica, a los efectos de la Ley 15/1999, una cesión de datos de carácter personal (que se define en el artículo 3 i) de la misma “toda revelación de datos realizada a una persona distinta del interesado”, que regula en el artículo 11.1 estableciendo: “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 199 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

del cedente y del cesionario con el previo consentimiento del interesado”. Entre las excepciones a la necesidad de ese consentimiento recogidas en el artículo 11.2 se encuentra el que la cesión se encuentre autorizada por una Ley. En este sentido, considerando el ámbito subjetivo referido al personal funcionario de una Administración Pública al que hace referencia la consulta, la Ley 9/1987, 12 de junio de 1987, de Regulación de los órganos de representación, determinación de condiciones de trabajo y participación de los funcionarios públicos, en su artículo 9 enumera, como señala la consulta planteada, las funciones atribuidas a las Juntas de Personal, incluyéndose entre las mismas, no sólo la recepción de información, sino también “vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes” (artículo 9.6) y “vigilar y controlar las condiciones de seguridad e higiene en el desarrollo del trabajo” (artículo 9.7). Por su parte, el artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, establece el carácter público de las Relaciones de Puestos de Trabajo, si bien las mismas, no contendrán, a la vista del contenido exigido por el artículo 15.1 b), los datos del personal concreto que ocupe un determinado puesto de trabajo, sino exclusivamente las características de cada uno de los puestos de trabajo existentes en cada Dependencia Administrativa, siendo los datos personales referidos a cada funcionario público, de acceso restringido a éste último, a tenor de lo dispuesto en el artículo 13.5, párrafo segundo de la propia Ley 30/1984. Se hace preciso, en consecuencia, cohonestar las atribuciones conferidas a la Junta Superior de Personal en la Ley 9/1987 con la protección otorgada a los datos de carácter personal, regulada en la Ley Orgánica 15/1999, y con los límites previstos en el artículo 21 para la posible cesión de esos datos. Pues bien, a nuestro juicio, la función de vigilancia y protección de las condiciones de trabajo, atribuida a las Juntas de Personal por la Ley 9/1987 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 200 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

puede llevarse adecuado desarrollo sin necesidad de proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta del Personal, será posible la cesión del datos específico de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha, a nuestro juicio, mediante la cesión a la Junta de Personal de información debidamente disociada, según el procedimiento definido en el artículo 3 f) de la Ley Orgánica 15/1999, que permita a aquélla conocer las circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto. En consecuencia, procederá, en caso de haber sido formalmente solicitada, la cesión de los datos solicitados, siempre que los mismos sean cedidos de forma disociada, sin poder referenciar los datos a personas identificadas o identificables. En caso contrario, deberá recabarse el consentimiento de los interesados, conforme exigen los artículos 11 y 21 de la Ley Orgánica 15/1999. Lo anteriormente indicado únicamente quedará exceptuado en lo referente al complemento de productividad, respecto del cual debe recordarse que el artículo 23.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, tras definir en su apartado c) el citado complemento, indica en el último párrafo de este apartado que “en todo caso, las cantidades que perciba cada funcionario por este concepto serán de conocimiento público de los demás funcionarios del Departamento y Organismo interesado así como de los representantes sindicales”. Además, debe recordarse que, en caso de que la cesión tuviera cabida por la condición de representativo del Sindicato consultante, el mismo deberá respetar los principios consagrados en la Ley Orgánica 15/1999, no pudiendo utilizar los datos para funciones distintas de las propias de las facultades de control que la Ley les atribuye. Así, por ejemplo, no podrán utilizar los datos para el ejercicio de sus derechos en juicio, a menos que los mismos sean reclamados al expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 201 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos

responsable del fichero por el Órgano Jurisdiccional que estuviera conociendo de la reclamación, supuesto en que la cesión tendría cobertura en lo previsto en el artículo 11.2 d) de la Ley Orgánica.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 202 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

PUBLICACIÓN DE RELACIONES DE PUESTOS DE TRABAJO DE UN AYUNTAMIENTO EN EL BOLETÍN DE LA COMUNIDAD DE MADRID Resumen.- El contenido de las relaciones de puestos de trabajo se pueden publicar en los Boletines correspondientes, pero sin publicar el nombre y apellidos del personal funcionario o laboral que la ocupe. La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD), regula como uno de los principios básicos en esta materia el consentimiento previo del afectado en la comunicación de datos. En este sentido y dentro de su artículo 11, establece en el apartado 1 el principio general de que: “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Sobre la base de dicho principio, la norma general para que la cesión de datos a terceros sea adecuada a la legislación sobre protección de datos

es:

que los afectados por los mismos consientan en que esa cesión pueda efectuarse, y que la misma persiga un fin legítimo entre cedente y cesionario. Sin embargo, la norma general del consentimiento no es absoluta y así, el propio artículo 11 regula en su apartado 2 una serie de excepciones a la misma. Entre las excepciones previstas en el artículo 11.2 interesa en la elaboración del presente informe destacar la recogida en el apartado 2 a) relativa a la posibilidad de realizar cesiones, sin el consentimiento de los afectados, cuando una norma con rango de ley establezca y regule las situaciones concretas en que la cesión de datos podrá tener lugar. La previsión legal será, por tanto, un límite a la necesidad del consentimiento del afectado para que la cesión sea legitimada y así lo reconoce el Tribunal Constitucional en su sentencia 292/2000. Dicha sentencia ha venido a declarar inconstitucional, entre otros, un inciso del apartado 1 del artículo 21 de la LOPD, precisamente por prever que una norma con rango inferior a la Ley (disposición reglamentaria) pudiese recoger la posibilidad de cesiones de datos. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 203 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

En la consulta se plantea, si la plantilla de personal del Ayuntamiento es publicada junto con el presupuesto para el año 2006, en Boletín Oficial de la Comunidad Autónoma de Madrid, conteniendo, además de la denominación y categoría de los distintos puestos de trabajo previstos por la Administración Local, los nombres y apellidos de las personas que ocupan esos puestos. La publicación de los referidos datos identificativos supone una cesión indeterminada de datos personales sujeta a lo previsto para las cesiones en el artículo 11 de la LOPD ya referido. Para determinar si la publicación de los datos personales de nombre y apellido de los trabajadores del Ayuntamiento está amparada por Ley y por tanto se adecua a lo previsto en la legislación sobre protección de datos, es preciso atender a lo dispuesto en las disposiciones reguladoras sectoriales. En este sentido, el artículo 15 de la Ley 30/1984, de 2 de agosto, de medidas para la Reforma de la Función Pública regula los extremos que deben contemplarse en las relaciones de puestos de trabajo de la Administración del Estado, disponiendo lo siguiente: 1. Las relaciones de puestos de trabajo de la Administración del Estado son el instrumento técnico a través del cual se realiza la ordenación del personal, de acuerdo con las necesidades de los servicios y se precisan los requisitos para el desempeño de cada puesto en los términos siguientes: Las relaciones comprenderán, conjunta o separadamente, los puestos de trabajo del personal funcionario de cada centro gestor, el número y las características de los que puedan ser ocupados por personal eventual así como los de aquellos otros que puedan desempeñarse por personal laboral. Las relaciones de puestos de trabajo indicarán, en todo caso, la denominación, tipo y sistema de provisión de los mismos; los requisitos exigidos para su desempeño; el nivel de complemento de destino y, en su caso, el complemento específico que corresponda a los mismos, cuando hayan de ser desempeñados por personal funcionario, o la categoría profesional y régimen jurídico aplicable cuando sean desempeñados por personal laboral. Con carácter general, los puestos de trabajo de la Administración del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 204 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

Estado y de sus organismos autónomos así como los de las entidades gestoras y servicios comunes de la Seguridad Social, serán desempeñados por funcionarios públicos. Se exceptúan de la regla anterior y podrán desempeñarse por personal laboral: Los puestos de naturaleza no permanente y aquellos cuyas actividades se dirijan a satisfacer necesidades de carácter periódico y discontinuo. Los puestos cuyas actividades sean propias de oficios, así como los de vigilancia, custodia, porteo y otros análogos; Los puestos de carácter instrumental correspondientes a las áreas de mantenimiento y conservación de edificios, equipos e instalaciones, artes gráficas, encuestas, protección civil y comunicación social, así como los puestos de las áreas de expresión artística y los vinculados directamente a su desarrollo, servicios sociales y protección de menores; Los puestos correspondientes a áreas de actividades que requieran conocimientos técnicos especializados cuando no existan Cuerpos o Escalas de funcionarios cuyos miembros tengan la preparación específica necesaria para su desempeño, Los puestos de trabajo en el extranjero con funciones administrativas de trámite y colaboración y auxiliares que comporten manejo de máquinas, archivo y similares. Los puestos con funciones auxiliares de carácter instrumental y apoyo administrativo. Asimismo, los organismos públicos de investigación podrán contratar personal laboral en los términos previstos en el artículo 17 de la Ley 13/1986, de 14 de abril, de Fomento y Coordinación General de la Investigación Científica y Técnica. Los puestos con funciones auxiliares de carácter instrumental y apoyo administrativo. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 205 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

La creación, modificación, refundición y supresión de puestos de trabajo se realizara a través de las relaciones de puestos de trabajo. Corresponde a los Ministerios de Administraciones Públicas y de Economía y Hacienda la aprobación conjunta de las relaciones de puestos de trabajo, excepto la asignación inicial de los complementos de destino y específico, que corresponde al Gobierno. La provisión de puestos de trabajo a desempeñar por el personal funcionario, así como la formalización de nuevos contratos de personal laboral fijo, requerirán que los correspondientes puestos figuren detallados en las respectivas relaciones. Este requisito no será preciso cuando se trate de realizar tareas de carácter no permanente mediante contratos de trabajo de duración determinada y con cargo a créditos correspondientes a personal laboral eventual o al capítulo de inversiones. 2. Los puestos de trabajo serán de adscripción indistinta para todos los funcionarios incluidos en el ámbito de aplicación de está Ley. Unicamente podrán adscribirse con carácter exclusivo puestos de trabajo a funcionarios de un

determinado

Cuerpo

o

Escala

cuando

tal

adscripción

se

derive

necesariamente de la naturaleza y de la función a desempeñar en ellos y en tal sentido lo determine el Gobierno a propuesta del Ministro de la Presidencia. 3. Las relaciones de puestos de trabajo serán públicas. Por su parte, el artículo 16 regula las relaciones de puestos de trabajo de las Comunidades Autónomas y de la Administración Local, estableciendo: Las Comunidades Autónomas y la Administración Local formarán también la relación de los puestos de trabajo existentes en su organización, que deberá incluir en todo caso la denominación, tipo y sistema de provisión de los puestos, las retribuciones complementarias que les correspondan y los requisitos exigidos para su desempeño. Estas relaciones de puestos serán públicas. A la vista de los anteriores artículos, se concluye que la publicación de las expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 206 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

relaciones de puestos de trabajo del Ayuntamiento en el Boletín Oficial de la Comunidad de Madrid corresponde, efectivamente, con su carácter de público, pero únicamente deben figurar en la misma la denominación, tipo y sistema de provisión de los puestos, las retribuciones complementarias que les correspondan y los requisitos exigidos para su desempeño, pero nunca los datos identificativos de las personas que van a cubrir esos puestos, lo que constituye una cesión de datos personales no amparada por la LOPD. Asimismo, la Agencia de Protección de Datos de la Comunidad de Madrid considera que los nombres y apellidos de los trabajadores del Ayuntamiento de Moraleja de En medio no deben ser publicados en ningún medio que permita el conocimiento de estos datos personales a personas distintas de los propios afectados, sin el consentimiento de éstos.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 207 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

PUBLICACIÓN EN FORMATO PDF A TRAVÉS DE LA INTRANET DE UN AYUNTAMIENTO DE UN LISTADO DEL CENSO ELECTORAL ELABORADO CON MOTIVO DE LAS ELECCIONES SINDICALES Resumen.- El Órgano consultante deberá optar por una solución que garantice el acceso a sus datos de carácter personal únicamente a la persona del afectado, de manera individual, articulando la fórmula sencilla que haga posible el acceso de dicho afectado a sus propios datos. De este modo, cabría la publicación de datos de carácter personal en la Intranet del Ayuntamiento consultante, pero de manera que únicamente fueran accesibles a cada afectado, mediante la utilización de un mecanismo para la verificación de su identidad. Ha tenido entrada en esta Agencia la consulta planteada por la Dirección General de (…) del Ayuntamiento de Madrid, referente a si es conforme con lo dispuesto por la normativa sobre protección de datos la publicación, en formato PDF y a través de la Intranet del propio Ayuntamiento, de un listado del censo electoral elaborado con motivo de las elecciones sindicales. A su vez, el Centro directivo consultante plantea qué tipo de fórmula podría habilitar para que los empleados públicos afectados accedieran a sus propios datos a través de la mencionada Intranet, proponiendo la posibilidad de que dicho acceso a los propios datos del afectado se realice previa solicitud del dato relativo al número de su DNI. En contestación a las cuestiones planteadas se informa lo siguiente: PRIMERO: La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), conforma el marco jurídico de referencia en España que afecta a la protección de datos. En esta Ley Orgánica se regulan los principios y fundamentos a los que deben ajustarse la recogida y tratamiento de los datos personales por cualquier Institución que precise recabar este tipo de datos para el ejercicio de su actividad. Dicha Ley se complementa, en el ámbito de la Comunidad de Madrid, con la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 208 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

SEGUNDO: El censo laboral, como documento en que se relacionan la totalidad de los trabajadores que ostentan la condición de electores en el procedimiento de elecciones a los órganos de representación laboral de la empresa, aparece regulado, esencialmente, en los artículos 74 del Estatuto de los Trabajadores y 6 del Reglamento de Elecciones a Representantes de los Trabajadores en la Empresa, aprobado por Real Decreto 1844/1994, de 9 de septiembre, diferenciando en ambos casos las previsiones aplicables a los supuestos de elección de comités de empresa o delegados de personal. En particular, en lo que se refiere al procedimiento para la elección de los miembros del comité de empresa, el artículo 6.2 del Reglamento se limita a establecer que “Cuando se trate de elecciones para Comités de Empresa, la lista de electores y elegibles se hará pública en los tablones de anuncios durante un tiempo no inferior a setenta y dos horas“. Asimismo, en lo referente a su contenido, el artículo 6.3 del mencionado Reglamento dispone que “Cuando se trate de empresas o centros de trabajo con 50 o más trabajadores, en el censo laboral se hará constar el nombre, dos apellidos, sexo, fecha de nacimiento, documento nacional de identidad, categoría o grupo profesional y antigüedad en la empresa de todos los trabajadores, distribuyéndose en un colegio de técnicos y administrativos y otro de especialistas y no cualificados, y un tercer colegio, si así se hubiese pactado en Convenio Colectivo, de acuerdo con lo previsto en el artículo 71.1 del Estatuto de los Trabajadores”, añadiendo el artículo 6.4 que “La empresa igualmente, facilitará en el listado del censo laboral la relación de aquellos trabajadores contratados por término de hasta un año, haciendo constar la duración del contrato pactado y el número de días trabajados hasta la fecha de la convocatoria de la elección.” Por su parte, el Estatuto de los Trabajadores se limita a indicar, dentro de las funciones atribuidas a la mesa electoral en su artículo 74.3 que “Cuando se trate de elecciones a miembros del comité de empresa, constituida la mesa electoral se solicitará al empresario el censo laboral y confeccionará, con los medios que le habrá de facilitar éste, la lista de electores. Esta se hará pública en los tablones de anuncios mediante su exposición durante un tiempo no inferior a expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 209 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

setenta y dos horas”, añadiendo que “La mesa resolverá cualquier incidencia o reclamación relativa a inclusiones, exclusiones o correcciones que se presenten hasta veinticuatro horas después de haber finalizado el plazo de exposición de la lista. Publicará la lista definitiva dentro de las veinticuatro horas siguientes”. En el supuesto de los trabajadores individualmente considerados, la cesión únicamente se encontraría habilitada si pudiera considerarse que la misma tiene su amparo en el principio de publicidad recogido en el artículo 74.3 del Estatuto de los Trabajadores, lo que exige analizar cuál es la finalidad que motiva la publicidad regulada por la mencionada norma y quiénes han de ser considerados destinatarios de la misma. Pues bien, de la lectura del transcrito artículo 74.3 se desprende que la finalidad de la publicidad que el mismo reconoce es la de dar a conocer a los trabajadores de la empresa la relación de electores en el procedimiento de elección a los órganos de representación sindical con un doble objeto: - Garantizar el derecho de todos los trabajadores a la participación en el propio procedimiento electoral, subsanando las posibles deficiencias que pudieran aparecer en el mencionado censo a través de la tramitación de las reclamaciones que pudieran plantearse ante la mesa y la rectificación de los datos que pudieran existir. -

Determinar quiénes podrán ostentar la condición de elegibles en el

mencionado proceso electoral, dado que el artículo 69.2 determina, entre los requisitos para ostentar dicha condición, el ser trabajadores de la empresa con la antigüedad y condiciones que el precepto establece. Para el cumplimiento de la mencionada finalidad, el Estatuto y el Reglamento establecen un procedimiento de publicidad del censo que queda limitado a la exposición del mismo en los tablones de la empresa, a fin de permitir su consulta por los trabajadores y la corrección de sus posibles deficiencias, limitándose a indicar que el censo definitivo “se publicará dentro de las veinticuatro horas siguientes” a la resolución por la Mesa de las incidencias o reclamaciones que hubieran sido presentadas. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 210 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

En consecuencia, la publicidad regulada por el Estatuto de los Trabajadores no tiene otra finalidad, como se ha indicado, que la consulta del mismo por los propios trabajadores afectados, circunstancia ésta que queda ratificada por el hecho de que las normas equivalentes aplicables a los procedimientos de elección de delegados de personal establecen que la mesa “hará público entre los trabajadores el censo laboral con indicación de quiénes son electores” (artículo 74.2 a) del Estatuto de los Trabajadores). Es decir, la publicación “en tablón de anuncios” viene a garantizar el pleno desenvolvimiento del derecho de los trabajadores a la libertad sindical, en cuanto a su condición de electores, garantizando su participación en el proceso de elección de los órganos de representación sindical. Por este motivo, cabría considerar que la publicación de los datos relativos al nombre, dos apellidos, sexo, fecha de nacimiento, documento nacional de identidad, categoría o grupo profesional y antigüedad en la empresa de los trabajadores con motivo de la celebración de elecciones sindicales, tendría cobertura en las normas que regulan la publicidad del censo laboral, por lo que, siguiendo lo dispuesto en el artículo 11.1 de la Ley Orgánica 15/1999, esta sería posible sin el consentimiento de los interesados. TERCERO.- Sin embargo, no ocurre lo mismo con la publicación “en abierto”, a través de la Intranet del propio Ayuntamiento, de un listado del censo electoral elaborado con motivo de las elecciones sindicales, al no existir una norma con rango de Ley que habilite dicha publicación de los datos sin contar con el consentimiento de los afectados. El artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de Datos Personales y a la Libre Circulación de estos Datos, establece que “Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse cuando c) es necesario para el cumplimiento de una obligación jurídica a la que está sujeto el responsable del tratamiento (…) e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 211 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

tratamiento o aun tercero a quien se comuniquen los datos (…) f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”. En este sentido, el tratamiento de los datos contenidos en el censo electoral de los empleados públicos con derecho a voto, y su comunicación o cesión “en abierto” a través de una Intranet al conjunto de dichos empleados, sin contar con el consentimiento de los afectados, no encuentra encaje en lo previsto por los artículos 6.1 y 6.2, y 11.2 a) y c) de la Ley Orgánica 15/1999, de 15 de diciembre, al no verse amparada por ninguna de las excepciones que en dichos preceptos se establecen: * En cuanto al tratamiento de datos de carácter personal. 6.1 “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. 6.2 “No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (…)”.* En cuanto a la cesión de datos de carácter personal. 11.1 “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.” 11.2 “El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión esté autorizada en una Ley. (…) c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 212 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique”. En consecuencia, en su caso, el Órgano consultante deberá optar por otro tipo de solución que garantice el acceso a sus datos de carácter personal únicamente a la persona del afectado, de manera individual, articulando la fórmula sencilla que haga posible el acceso de dicho afectado a sus propios datos. Así, si bien salvo que se recabe el consentimiento de cada afectado conforme al artículo 11 de la Ley Orgánica 15/1999, no resulta conforme con dicha norma la publicación de los datos personales “en abierto a través de una Intranet”, es decir, aquél tipo de publicación que permite un acceso generalizado, resulta sin embargo adecuado efectuarla mediante la solicitud del número del DNI del afectado, al referirse el acceso a datos de carácter personal cuyo tratamiento requiere la adopción de medidas de seguridad de nivel básico. En resumen, cabría la publicación de datos de carácter personal en la Intranet del Ayuntamiento consultante, pero de manera que únicamente fueran accesibles a cada afectado, mediante la utilización de un mecanismo para la verificación de su identidad, siendo razonable que el correspondiente acceso se produzca a través de la solicitud del número del DNI del afectado. CUARTO.- Ninguna de estas normas hasta ahora citadas establece especialidad alguna en cuanto al acceso a los datos contenidos en el censo laboral por parte de las candidaturas electorales durante el procedimiento electoral, al margen de los requisitos de publicidad a los que se ha hecho referencia. Ello no obstante, en lo relativo a la comunicación de los datos del censo electoral a las Organizaciones Sindicales en el marco del desarrollo de las elecciones sindicales, la Ley 9/1987, de 12 junio, que Regula los órganos de representación, determinación de condiciones de trabajo y participación del personal al servicio de las Administraciones Públicas, en su artículo 13, relativo a la “Elección de los órganos de representación. Legitimados para promoverla, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 213 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

obligaciones y requisitos”, dispone que: “1. Podrán promover la celebración de elecciones a Delegados y Juntas de Personal: a) Los sindicatos más representativos a nivel estatal. b) Los sindicatos más representativos a nivel de Comunidad Autónoma, cuando la unidad electoral afectada esté ubicada en el ámbito geográfico de la misma. c) Los sindicatos que, sin ser más representativos, hayan conseguido al menos el 10 por 100 de los representantes a los que se refiere esta Ley en el conjunto de las Administraciones públicas. d) Los sindicatos que hayan obtenido al menos dicho porcentaje del 10 por 100 en la unidad electoral en la que se pretende promover las elecciones. e) Los funcionarios de la unidad electoral, por acuerdo mayoritario. Las Organizaciones sindicales con capacidad para promover elecciones tendrán derecho a que la Administración pública correspondiente les suministre el censo de personal funcionario de las unidades electorales afectadas, distribuido por Organismos o centros de trabajo, con el fin de que puedan llevar a cabo tal promoción en los respectivos ámbitos. 2. Los promotores comunicarán al órgano competente en materia de personal en la unidad electoral correspondiente y a la oficina pública de registro su propósito de celebrar elecciones con un plazo mínimo de, al menos, un mes de antelación al inicio del proceso electoral. En dicha comunicación los promotores deberán identificar con precisión la unidad electoral en la que se desea celebrar el proceso electoral y la fecha de inicio de éste, que será la de constitución de la Mesa electoral y, en todo caso, no podrá comenzar antes de un mes ni más allá de tres meses contabilizados a partir del registro de la comunicación en la oficina pública. Esta oficina pública de registro, dentro del siguiente día hábil, expondrá en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 214 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid

tablón de anuncios los preavisos presentados, facilitando copia de los mismos a los sindicatos que así lo soliciten.” De acuerdo con lo anterior, se puede concluir que, para el supuesto concreto del acceso por parte de dichas Organizaciones sindicales, existiendo amparo legal suficiente, resultaría conforme con lo dispuesto por el artículo 11.2 a) de la Ley Orgánica 15/1999, de 13 de diciembre, la cesión a las mismas de una copia del censo de personal de las unidades electorales afectadas.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 215 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

CESIÓN DE DATOS POR PARTE DE UN AYUNTAMIENTO A REPRESENTANTES SINDICALES DICTAMEN QUE EMITE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS EN RELACIÓN A LA CONSULTA REALIZADA POR UN AYUNTAMIENTO EN RELACIÓN CON LA INFORMACIÓN QUE DEBE FACILITAR A LOS REPRESENTANTES SINDICALES I El Ayuntamiento de xxxx ha elaborado un Plan de Información a los Representantes Sociales del Ayuntamiento con el objeto declarado de conciliar la LOPD y el ejercicio de la acción sindical. Para la elaboración del Plan han tomado como referencia la LOPD, la Ley 8/1987, de 12 de junio, de Órganos de Representación y Participación del Personal al servicio de las Administraciones Públicas, el Estatuto de los Trabajadores y la Recomendación 1/2006, de 3 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid. Algunas de las cuestiones contenidas en el citado Plan no son pacificas y por ello se acuerda solicitar informe sobre los puntos controvertidos a la Agencia Vasca de Protección de Datos, en concreto: 1) Sobre si vulnera o no la LOPD facilitar a los representantes sindicales la Relación de Puestos de Trabajo (RPT) identificando a las personas (nombre, apellidos y DNI) que ocupan cada puesto de trabajo. Si es necesario recabar su consentimiento inequívoco y si este debe ser expreso. 2) Sobre la compatibilidad o no con la LOPD de trasladar a los representantes sindicales copia de las resoluciones que se adoptan en materia de función pública en las que consten datos de carácter personal de los empleados públicos (nombre, apellidos, DNI u otros (ej: el nombre del hijo/a, cuando se trate de solicitud de reducción de jornada por cuidado de hijo menor). Si es necesario solicitar previamente el consentimiento del trabajador. El presente informe se emite en virtud de la competencia que a esta Dirección atribuye el artículo 17 n) de la Ley del Parlamento Vasco 2/2004, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 216 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

Vasca de Protección de Datos. II El problema se plantea, en este caso, respecto de los datos que comparte el Ayuntamiento con los representantes sindicales, ya que el Ayuntamiento entiende que el tratamiento que hasta la fecha ha venido realizando, facilitando a los mismos las RPT y las resoluciones en materia de función pública con datos de carácter personal de los empleados públicos, pudiera chocar con el derecho a la protección de datos de carácter personal, mientras que los representantes sindicales entienden que la propuesta del Ayuntamiento de no facilitar la RPT desagregada y de no trasladar copia de las resoluciones sino un listado con un resumen de su contenido, coarta y limita el ejercicio de la libertad sindical. Lo que se plantea, en definitiva, es la posible colisión entre dos derechos fundamentales: Por un lado, el derecho a la protección de datos de carácter personal, derivado del artículo 18.4 CE y consagrado como derecho autónomo e informador del texto constitucional por la STC 292/2000, de 30 de noviembre, y, por otro, el derecho a la libertad sindical recogido como derecho fundamental por el articulo 28.1 de la CE. Trataremos, por ello, de dar debida respuesta a las concretas cuestiones planteadas en la consulta, para lo que tendremos que delimitar el derecho a la protección de datos de carácter personal frente a otro derecho fundamental, el derecho a la libertad sindical. III La Constitución de 1978 consagra en su Título I una serie de derechos fundamentales, y entre esos derechos contempla el artículo 18.4 que dispone lo siguiente: “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. De ese precepto constitucional deriva el derecho a la protección de datos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 217 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

de carácter personal o derecho a la autodeterminación informativa, que la jurisprudencia constitucional ha consagrado como derecho fundamental y autónomo y que alguna doctrina ha denominado nuevo derecho fundamental del siglo XXI. El TC ha declarado que el art. 18.4 CE contiene, en los términos de la STC 254/1993, “un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama "la informática"», lo que se ha dado en llamar «libertad informática» (F. 6, reiterado posteriormente, entre otras, en SSTC 143/1994, 11/1998, 94/1998 y 202/1999).” Este derecho fundamental a la protección de los datos personales es un concepto cuyo ámbito es más amplio que el derecho a la intimidad. Así lo ha declarado el Tribunal Constitucional en su STC 292/2000: “ la protección de datos no se reduce sólo a los datos íntimos de la persona, sino cualquier tipo de datos de carácter personal, sean íntimos o no, cuyo conocimiento o empleo por terceros puede afectar a sus derechos sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. .. .Los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo” (FJ 6ª). El TC, en esta misma STC 290/2000, ha definido el contenido de este derecho fundamental del siguiente modo: “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 218 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

cuáles de esos datos proporciona a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. (...)” (FJ 7º). Estos son, en definitiva, los elementos que caracterizan la definición que el TC hace del derecho a la protección de datos personales, derecho fundamental que, en la actualidad, se regula en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD, en adelante), y en el ámbito de esta Comunidad Autónoma se complementa con la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos. Las citadas LOPD y la Ley Autonómica 2/2004, definen a los datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables” y a la cesión de datos como “toda revelación de datos realizada a una persona distinta del interesado”. Respecto de las cesiones de datos, el art. 11 de la LOPD establece que: “los datos de carácter personal, objeto del tratamiento, solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del interesado”. De conformidad con dicho precepto legal nos encontramos con que, como regla general, es necesario para la cesión de datos de carácter personal expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 219 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

que los afectados consientan esa cesión y además la misma debe obedecer a un fin legítimo entre cedente y cesionario. No obstante, esta regla general se exceptúa en los supuestos previstos en el apartado 2 del mencionado artículo 11, y, entre ellos, “Cuando la cesión esté autorizada en una Ley” (11.2 a) o “Cuando se trate de datos recogidos de fuentes accesibles al público” (11.2b). Dicho esto, no ofrece duda alguna que la comunicación de datos de carácter personal de los empleados públicos del Ayuntamiento de XXX a los representantes sindicales constituye, de conformidad a lo dispuesto en el citado artículo 3. i) de la Ley Orgánica 15, 1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, una cesión de datos de carácter personal. Por ello, la cuestión que debe resolverse en este informe es si la cesión de datos personales de los empleados públicos del Ayuntamiento de XXX a los representantes sindicales sin consentimiento de los titulares de los datos, encuentra cobertura en alguna de las excepciones del artículo 11.2 de la LOPD. Para ello, debemos centrarnos ahora en el otro derecho fundamental en juego. IV El derecho a la libertad sindical se recoge en el artículo 28.1 CE como un derecho fundamental. Conocer el alcance del contenido de este derecho resulta obligado tener presente la STC 231/2000, de 11 de noviembre (FJ4º), donde el TC ha declarado que aunque del tenor literal del artículo 28.1 CE “pudiera deducirse la restricción del contenido de la libertad sindical a una vertiente exclusivamente organizativa o asociativa, este Tribunal ha declarado reiteradamente... que en el contenido de este precepto se integra también la vertiente funcional del derecho, es decir, el derecho de los sindicatos a ejercer aquellas actividades dirigidas a la defensa, protección y promoción de los intereses de los trabajadores, en suma, a desplegar los medios de acción necesarios para que puedan cumplir las funciones que constitucionalmente les corresponden” (por todas, SSTC 105/1992, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 220 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

de 1 de julio; 173/1992, de 29 de octubre; 164/1993, de 18 de mayo; 145/1999, de 22 de julio y 308/2000, de 18 de diciembre.). Los sindicatos disponen de un ámbito esencial de libertad para organizarse y actuar de la forma que consideren más adecuada a la efectividad de su acción, dentro, claro está, del respeto a la Constitución y a la Ley. En el art. 28.1 CE se integra, pues, el derecho a llevar a cabo una libre acción sindical, comprensiva de todos los medios lícitos y sin indebidas injerencias de terceros (por todas, SSTC 94/1995, de 16 de junio; 127/!995, de 25 de julio; 168/!996, de 29 de octubre; 107/2000, de 5 de mayo y 121/2001, de 4 de junio), y, en coherencia con dicho contenido constitucional, la Ley Orgánica 11/1985, de 2 agosto, de libertad sindical (en adelante, LOLS), reconoce en su art. 2.1 d) «el derecho a la actividad sindical», regulando su ejercicio dentro de la empresa en sus art. 8 a 11. Sin necesidad de su exposición exhaustiva, es de señalar que para el cabal ejercicio de la acción sindical, la Ley Orgánica de libertad sindical otorga a los delegados sindicales iguales derechos y garantías que el estatuto de los trabajadores destina a los miembros de comités de empresa y a éstos como instituciones de representación electiva de los trabajadores. De este modo, a través de la explícita remisión a lo dispuesto en el art. 64 LET se reconoce a los delegados sindicales el derecho a acceder a la misma documentación e información que la empresa ha de poner a disposición del comité de empresa... Si bien, tales representantes no sólo gozan del derecho recibir información del empresario acerca de las cuestiones que han quedado señaladas. Pesa también sobre ellos el deber de mantener informados a sus representados «en todos los temas y cuestiones señalados... en cuanto directa o indirectamente tengan o puedan tener repercusión en las relaciones laborales» (art. 64.1.12 LET). Como hemos tenido la oportunidad de decir en anteriores ocasiones, esa transmisión de noticias de interés sindical, ese flujo de información entre el sindicato y sus afiliados, entre los delegados sindicales y los trabajadores, «es el fundamento de la participación, permite el ejercicio cabal de una acción sindical, propicia el desarrollo de la democracia y del pluralismo sindical y, en definitiva, constituye un elemento esencial del derecho fundamental a la libertad sindical» (SSTC 94/1995, de 19 de junio y 168/1996, de 25 de noviembre). expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 221 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

Ciertamente, el derecho y deber de información de los delegados sindicales -al igual que el de los representantes electivos o unitarios de los trabajadores y de los funcionarios públicos- no resulta ilimitado, sino que se encuentra condicionado por la imposición legal de un «deber de sigilo profesional» (art. 10.3.1 LOLS, en relación con el art. 65.2 LET y art. 10, párrafo 2, de la Ley 9/1987, de 12 de junio, de órganos de representación, determinación de las condiciones de trabajo y participación del personal al servicio de las Administraciones públicas). A través del mismo, se impone a los representantes de los trabajadores la obligación de no difundir determinadas informaciones que les proporciona la empresa en cumplimiento de su obligación legal de información sobre las materias competencia de la función de representación de aquéllos. Pero tampoco el deber de sigilo es irrestricto, antes al contrario se acota en los términos del art. 65.2 LET para permitir el desenvolvimiento de la labor de representación, garantizando una base de confianza entre el sujeto informante (empresario) y el informado (representante) y reduciendo así los temores o las reservas del primero por facilitar una información cuya divulgación podría perjudicar sus intereses”. V Señalada la doctrina del TC sobre el contenido y límites de la Libertad Sindical, debemos ponderar como afecta este derecho fundamental al derecho fundamental a la protección de datos de carácter personal. Para ello, tendremos que analizar las competencias que el ordenamiento jurídico atribuye a los representantes sindicales y comprobar si cabe apreciar o no la excepcionalidad del consentimiento para transmitirles los datos personales de los empleados públicos municipales. Ello nos exige detenernos, en primer lugar, en la Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical y, en particular en su Título IV “de la acción sindical”, donde se recogen las competencias, facultades y garantías de que gozan estos representantes sindicales. El artículo 8.2 de ese Ley regula los derechos de las secciones sindicales de los sindicatos más representativos y de los que tengan representación en los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 222 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

comités de empresa y en los órganos de representación de las Administraciones Públicas o cuenten con delegados de personal (derecho a un tablón de anuncios en el centro de trabajo, derecho a la negociación colectiva y a la utilización de un local adecuado). Sin embargo, el artículo 10.3 de mismo texto legal, dispone que los delegados sindicales, en el supuesto de que no formen parte del comité de empresa, tendrán las mismas garantías que las establecidas legalmente para los miembros de los comités de empresa o de los órganos de representación que se establezcan en las Administraciones Públicas, señalando, además, de manera expresa, que tendrán acceso a la misma información y documentación que la empresa ponga a disposición del comité de empresa, estando obligados los delegados sindicales a guardar sigilo profesional en aquellas materias en las que legalmente proceda. El artículo 64 .1 del Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores, establece las competencias del comité de empresa. “Artículo 64. Competencias. 1. El comité de empresa tendrá las siguientes competencias: 1º. Recibir información, que le será facilitada trimestralmente, al menos, sobre la evolución general del sector económico al que pertenece la empresa, sobre la situación de la producción y ventas de la entidad, sobre su programa de producción y evolución probable del empleo en la empresa, así como acerca de las previsiones del empresario sobre celebración de nuevos contratos, con indicación del número de éstos y de las modalidades y tipos de contratos que serán utilizados y de los supuestos de subcontratación. 2º. Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 223 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

3º. Conocer el balance, la cuenta de resultados, la memoria y, en el caso de que la empresa revista la forma de sociedad por acciones o participaciones, de los demás documentos que se den a conocer a los socios, y en las mismas condiciones que a éstos. 4º. Emitir informe con carácter previo a la ejecución por parte del empresario de las decisiones adoptadas por éste sobre las siguientes cuestiones: a) Reestructuraciones de plantilla y ceses totales o parciales, definitivos o temporales de aquélla. b) Reducciones de jornada, así como traslado total o parcial de las instalaciones. c) Planes de formación profesional de la empresa. d) Implantación o revisión de sistemas de organización y control del trabajo. e) Estudio de tiempos, establecimiento de sistemas de primas o incentivos y valoración de puestos de trabajo. 5º. Emitir informe cuando la fusión, absorción o modificación del «status» jurídico de la empresa suponga cualquier incidencia que afecte al volumen de empleo. 6º. Conocer los modelos de contrato de trabajo escrito que se utilicen en la empresa, así como de los documentos relativos a la terminación de la relación laboral. 7º. Ser informado de todas las sanciones impuestas por faltas muy graves. 8º. Conocer, trimestralmente al menos, las estadísticas sobre el índice de absentismo y sus causas, los accidentes de trabajo y enfermedades profesionales y sus consecuencias, los índices de siniestralidad, los estudios periódicos o especiales del medio ambiente laboral y los mecanismos de prevención que se utilicen. 9º. Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 224 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley. 10º. Participar, como se determine por convenio colectivo, en la gestión de obras sociales establecidas en la empresa en beneficio de los trabajadores o de sus familiares. 11º. Colaborar con la dirección de la empresa para conseguir el establecimiento de cuantas medidas procuren el mantenimiento y el incremento de la productividad, de acuerdo con lo pactado en los convenios colectivos. 12º. Informar a sus representados en todos los temas y cuestiones señalados en este número uno en cuanto directa o indirectamente tengan o puedan tener repercusión en las relaciones laborales”. De acuerdo con lo dispuesto en la normativa citada los datos que se podrían ceder a los representantes sindicales sin necesidad de consentimiento serían los contemplados expresamente en el artículo 64.1 ET. Por lo que respecta a las competencias de los órganos de representación del personal al servicio de las Administraciones Públicas, debe señalarse que estos órganos de representación estaban regulados hasta la fecha en la Ley 9/1997, de 12 de junio, de Órganos de Representación, Determinación de las Condiciones de Trabajo y Participación del Personal al Servicio de las Administraciones Públicas, pero esa Ley ha sido recientemente derogada, (excepto su artículo 7 y con la excepción contemplada en la DT5 de ese nuevo Estatuto) por la Ley 7/2007, de 12 de abril, del Estatuto Básico de la Función Pública, que ha entrado en vigor el 13 de mayo de 2007. El artículo 40 del nuevo Estatuto Básico de la Función Pública, atribuye a los órganos de representación (Juntas de Personal y Delegados de Personal) las siguientes funciones: “Artículo 40. Funciones y legitimación de los órganos de representación. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 225 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

1. Las Juntas de Personal y los Delegados de Personal, en su caso, tendrán las siguientes funciones, en sus respectivos ámbitos: a) Recibir información, sobre la política de personal, así como sobre los datos referentes a la evolución de las retribuciones, evolución probable del empleo en el ámbito correspondiente y programas de mejora del rendimiento. b) Emitir informe, a solicitud de la Administración Pública correspondiente, sobre el traslado total o parcial de las instalaciones e implantación o revisión de sus sistemas de organización y métodos de trabajo. c) Ser informados de todas las sanciones impuestas por faltas muy graves. d) Tener conocimiento y ser oídos en el establecimiento de la jornada laboral y horario de trabajo, así como en el régimen de vacaciones y permisos. e) Vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, prevención de riesgos laborales, Seguridad Social y empleo y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes. f)

Colaborar

con

la

Administración

correspondiente

para

conseguir

el

establecimiento de cuantas medidas procuren el mantenimiento e incremento de la productividad. 2. Las Juntas de Personal, colegiadamente, por decisión mayoritaria de sus miembros y, en su caso, los Delegados de Personal, mancomunadamente, estarán legitimados para iniciar, como interesados, los correspondientes procedimientos administrativos y ejercitar las acciones en vía administrativa o judicial en todo lo relativo al ámbito de sus funciones. En consecuencia, los datos que se pueden ceder a los representantes de los empleados públicos sin necesidad de consentimiento serían los reseñados en el citado precepto legal. Señalado lo anterior y dado que la controversia se plantea en temas referidos a la función pública, a la posibilidad de comunicar a los representantes expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 226 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

sindicales las RPTs con indicación de las personas que ocupan cada puesto, así como copia resoluciones referidas a materia de función pública donde constan datos de carácter personal de los empleados públicos, debemos también detenernos en la legislación sobre función pública. El artículo 16 de la Ley 6/1989, de 6 de julio, de la Función Pública Vasca, establece el carácter público de las RPT (que en el caso de que correspondan a Corporaciones Locales deben publicarse en el Boletín del Territorio Histórico correspondiente), pero estas relaciones de puestos de trabajo, no indican, según el articulo 15.1 de esa Ley, los datos de las personas que ocupan cada puesto sino únicamente las características de cada puesto de trabajo, esto es, “su denominación; departamento o centro directivo al que se halle adscrito; régimen de dedicación; requisitos exigidos para su desempeño, entre los que , necesariamente, deberá figurar el perfil lingüístico asignado y su fecha de preceptividad; la adscripción al Grupo, Cuerpo o Escala o categoría laboral y, el nivel del puesto, sistema de provisión y complemento específico que corresponda a los puestos cuando hayan de ser desempeñados por personal funcionario”. Del mismo modo, el artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública establece el carácter público de las RPTs, pero tampoco contempla en su apartado 1b), dentro del contenido de las mismas, los datos de carácter personal de cada empleado público. En este mismo sentido, se pronuncia el artículo 74 de la Ley 7/2007, de 12 de abril, del Estatuto Básico de la Función Pública. De lo expuesto, vemos que las RPTs, se configuran legalmente como listados de puestos pero no de personas. En definitiva, analizada la normativa vigente en materia de función pública (estatal y autonómica) debe concluirse que la misma no autoriza la comunicación de los datos personales en los términos a los que hace referencia la consulta. VI expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 227 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

Una vez apuntado el marco normativo aplicable, nos encontramos con que del examen de todas las normas legales citadas no aparece atribuido a los representantes sindicales el derecho a recibir la concreta información de las personas que ocupan cada puesto de trabajo, ni el derecho a conocer todas las resoluciones en materia de función pública con los datos personales de los empleados municipales. Tampoco creemos que se pueda extraer la obligación del Ayuntamiento de suministrar esa información con los datos personales de los empleados públicos, del genérico derecho de actividad sindical contenido en el artículo 2 .1 d) de la LOLS. Llegados a este punto es necesario traer a colación la reiterada jurisprudencia constitucional relativa a que ningún derecho fundamental es absoluto, (por todas, SSTC 156/2001 y 70/2002) y la constante doctrina que viene señalando que la relación entre ambos derechos fundamentales debe articularse en base a un principio de proporcionalidad y equilibrio y no en base a un principio de jerarquía que haga prevalecer un derecho fundamental sobre otro. En este sentido conviene recordar que uno de los principios básicos de la protección de datos de carácter personal es el principio de calidad de los datos, recogido en el artículo 4.1 LOPD, según el cual: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. El principio de proporcionalidad de la LOPD exige que el tratamiento de los datos de de carácter personal sea proporcionado a la finalidad que la motiva. No procede, reproducir aquí en detalle la doctrina del Tribunal Constitucional sobre el citado principio. A los efectos que aquí importan, basta con recordar que, como sintetizan las SSTC 66/1995, fundamento jurídico 5º; 55/1996, fundamentos jurídicos 6º, 7º, 8º y 9º; y 207/1996, fundamento jurídico 4º e), para comprobar si una medida restrictiva de un derecho fundamental supera expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 228 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto). De acuerdo con la jurisprudencia constitucional citada, esta AVPD considera que una cesión generalizada de los datos personales de los empleados públicos por parte del Ayuntamiento de XXX, para dar cumplimiento al derecho de libertad sindical, resultaría desproporcionada, irrazonable y en definitiva, contraria a la protección de datos, al carecer de amparo o habilitación legal. Es indiscutible que el Ayuntamiento de XXX ha de poner a disposición de los representantes sindicales toda la información y documentación que sea necesaria para el ejercicio de los derechos, facultades y funciones que tienen legalmente atribuidas, (información, vigilancia…) pero entendemos que el ejercicio de dichas funciones no exige, con carácter general, la cesión de datos personales de los empleados públicos salvo en los supuestos tasados en la ley. A nuestro juicio, sólo sería posible la comunicación de esos datos en aquellos concretos supuestos en los que la cesión de datos de empleados públicos fuese una medida imprescindible y justificada desde la perspectiva de la proporcionalidad del sacrificio del derecho a la protección de datos para garantizar el cumplimiento de las funciones que la ley reconoce a los representantes sindicales. En otro caso, esa información deberá cederse debidamente disociada, según el procedimiento del artículo 3f) de la LOPD, o será preciso recabar el consentimiento del titular de los datos, que deberá ser expreso si los datos que se ceden son especialmente protegidos, de conformidad con el artículo 7 LOPD. En todo caso, esa labor de ponderación deberá hacerla el Ayuntamiento atendiendo a la finalidad a la que van a destinarse los datos. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 229 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

En este sentido, resulta obligado señalar que la defensa de los datos personales debe convivir con la libertad sindical dado que como mantiene algún sector doctrinal “poniendo en riesgo los derechos y libertades de ámbito personal, se pone en riesgo los derechos y libertades del trabajador”. Esta afirmación cobra su sentido si tenemos en cuenta que el derecho de libre sindicación además de dimensión colectiva de organización y de actuación, tiene una dimensión individual que garantiza la libertad de cualquier trabajador para formar parte de un sindicato. Y, curiosamente, esa dimensión individual del derecho a la libre sindicación está especialmente protegida por Ley Orgánica de Protección de Datos, ya que el dato de la afiliación sindical es considerado como un dato sensible, merecedor de la máxima protección y, por ello, únicamente puede ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado (artículo 7.2 LOPD). De hecho existe un largo elenco de SSTC donde el TC estima que ha tenido lugar una lesión conjunta de la libertad sindical y de la protección de datos, al utilizar un dato sensible (la afiliación sindical) que había sido proporcionado con una determinada finalidad, para otra radicalmente distinta (para detraer haberes de los trabajadores con ocasión de una huelga promovida por determinado sindicato), con menoscabo del legítimo ejercicio del derecho de libertad sindical (STC 11/1998, de 13 de enero, cuya doctrina ha sido reiterada en una larga serie de Sentencias del TC resolviendo idéntica cuestión, y , entre ellas, merece destacarse la STC 94/1998, de 4 de mayo, y la STC 44/ 1999, de 22 de marzo y 202/1999, de 8 de noviembre). Por todo lo expuesto, esta AVPD comparte el criterio que mantiene la Agencia de Protección de Datos de la Comunidad de Madrid, en su Recomendación 1/2006, de 3 de abril, respecto a como debe procederse en situaciones de posible colisión entre ambos derechos fundamentales en los supuestos sometidos a consulta. Debe, además, señalarse que la Agencia Española de Protección de Datos, también se ha pronunciado en el mismo sentido en el informe 171/2004, emitido a raíz de la consulta planteada por un sindicato sobre si resultaba expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 230 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

ajustada a la LOPD la difusión en Internet de la RPT de la Diputación Provincial de Valencia, con indicación de las personas concretas que cubrían cada puesto de trabajo. En dicho informe la AEPD concluye que la difusión de esos datos no encuentra cobertura legal en la Ley 30/1984 y además reitera el criterio mantenido en anteriores informes, en concreto, en el informe de 19 de marzo de 2000 (referido a la comunicación a los representantes del personal al servicio de la Administración de datos contenidos en las nóminas) y en otro de 23 de julio de 1993 , en los que concluye que la cesión masiva de datos de carácter personal de los empleados públicos sin su consentimiento, salvo en relación con aquellos datos respecto de los que la Ley expresamente reconoce su carácter público, es contrario a la LOPD. Esta doctrina de la Agencia Española de Protección de Datos ha sido asumida por la Agencia Vasca de Protección de Datos en el Informe CN 11/2005, relativo a la posibilidad de disposición de datos retributivos de determinados funcionarios públicos de la Diputación Foral de Bizkaia. CONCLUSIONES 1ª La transmisión a los representantes sindicales de las RPTs con indicación de las personas que ocupan cada puesto de trabajo, no encuentra cobertura legal en la normativa en materia de protección de datos. 2ª La cesión generalizada a los representantes sindicales de datos de carácter personal de los empleados públicos sin su consentimiento, salvo en los supuestos previstos en la Ley, se opone, también, a la normativa en materia de protección de datos, al carecer de amparo legal. 3ª La cesión de la información a la que se refiere la consulta resultará conforme a derecho una vez disociada, según el procedimiento del artículo 3 f) de la LOPD, o cuando se cuente con el consentimiento previo del titular de los datos, que deberá ser expreso si los datos son especialmente protegidos, de acuerdo con lo dispuesto en el artículo 7 de la misma ley orgánica. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 231 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

4ª La defensa de los datos de carácter personal debe convivir con la libertad sindical, y corresponde al Ayuntamiento consultante tratar de armonizar ambos derechos fundamentales.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 232 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

COMUNICACIÓN DE CONTRATOS DEL PERSONAL LABORAL DE UN AYUNTAMIENTO A UN DELEGADO SINDICAL Informe jurídico 0120/2008 La consulta plantea diferentes cuestiones relativas al acceso y posibilidad de comunicación de diferentes datos de carácter personal referidos a la plantilla de funcionarios por la corporación municipal a la organización sindical consultante y su adecuación a Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. Con carácter previo, conviene señalar que, en la consulta viene planteada por un Delegado sindical de un determinado sindicato, sin informar si el mismo tiene representación en los órganos de representación sindical del Ayuntamiento al que se solicitan los datos, razón por la cual solo procederá la cesión de datos a dicha sección sindical en caso de que sus representantes formen parte de los órganos de representación del personal en el citado Ayuntamiento o, en su defecto, cuando los trabajadores hayan prestado su previo consentimiento a la misma. Sentados así los términos, como regla general, la cesión de los indicados datos por parte del Ayuntamiento a una organización sindical con representatividad en el mismo supone una cesión de datos de carácter personal disponiendo el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Entre las excepciones a la necesidad de ese consentimiento recogidas en el artículo 11.2 se encuentra el que la cesión se encuentre autorizada por una Ley. En la materia que nos ocupa, al tratarse de datos relativos a la plantilla de personal funcionario de una corporación municipal, se analizará la cuestión expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 233 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

desde el supuesto en que el personal se encuentre vinculado a la corporación municipal por una relación estatutaria de derecho administrativo, es decir, que dicho personal tenga la condición de personal funcionario. En este supuesto, la Ley 9/1987, 12 de junio de 1987, de Regulación de los órganos de representación, determinación de condiciones de trabajo y participación de los funcionarios públicos, enumera en su artículo 9, las funciones atribuidas a las Juntas de Personal, incluyéndose entre las mismas, no sólo la recepción de información, sino también, “tener conocimiento y ser oídos en las siguientes cuestiones y materias: a) Establecimiento de la jornada laboral y horario de trabajo. b) Régimen de permisos, vacaciones y licencias. c) Cantidades que perciba cada funcionario por complemento de productividad” (artículo 9.4); “conocer, al menos, trimestralmente, las estadísticas sobre el índice de absentismo y sus causas, los accidentes en acto de servicio y enfermedades profesionales y sus consecuencias, los índices de siniestralidad, los estudios periódicos o especiales del ambiente y las condiciones de trabajo, así como de los mecanismos de prevención que se utilicen.” (artículo 9.5); "vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes" (artículo 9.6) y "vigilar y controlar las condiciones de seguridad e higiene en el desarrollo del trabajo" (artículo 9.7). En informes emitidos por esta Agencia Española de Protección de Datos ante cuestiones similares a las planteadas en la consulta, en relación con personal funcionario, esta Agencia ha señalado lo siguiente: “Con carácter preliminar debe precisarse que la comunicación de cualquier dato de los anteriormente indicados, en cuanto incorpore la identificación de cualquier persona física o se refiera a cualquier información personal correspondiente a las mismas, implica, a los efectos de la Ley 15/1999, una cesión de datos de carácter personal (que se define en el artículo 3 i) de la misma “toda revelación de datos realizada a una persona distinta del interesado”), que regula en el artículo 11.1 estableciendo: “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 234 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

cesionario con el previo consentimiento del interesado”. Entre las excepciones a la necesidad de ese consentimiento recogidas en el artículo 11.2 se encuentra el que la cesión se encuentre autorizada por una Ley. En este sentido, considerando el ámbito subjetivo referido a personal funcionario de una Administración Pública al que hace referencia la consulta, la Ley 9/1987, 12 de junio de 1987, de Regulación de los órganos de representación, determinación de condiciones de trabajo y participación de los funcionarios públicos, en su artículo 9 enumera, como señala la consulta planteada, las funciones atribuidas a las Juntas de Personal, incluyéndose entre las mismas, no sólo la recepción de información, sino también “vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes” (artículo 9.6) y “vigilar y controlar las condiciones de seguridad e higiene en el desarrollo del trabajo” (artículo 9.7). Por su parte, el artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, establece el carácter público de las Relaciones de Puestos de Trabajo, si bien las mismas, no contendrán, a la vista del contenido exigido por el artículo 15.1 b), los datos del personal concreto que ocupe un determinado puesto de trabajo, sino exclusivamente las características de cada uno de los puestos de trabajo existentes en cada Dependencia Administrativa, siendo los datos personales referidos a cada funcionario público, de acceso restringido a éste último, a tenor de lo dispuesto en el artículo 13.5, párrafo segundo de la propia Ley 30/1984. Se hace preciso, en consecuencia, cohonestar las atribuciones conferidas a la Junta Superior de Personal en la Ley 9/1987 con la protección otorgada a los datos de carácter personal, regulada en la Ley Orgánica 15/1999, y con los límites previstos en el artículo 21 para la posible cesión de esos datos. Pues bien, a nuestro juicio, la función de vigilancia y protección de las condiciones de trabajo, atribuida a las Juntas de Personal por la Ley 9/1987 puede llevarse a adecuado desarrollo sin necesidad de proceder a una cesión expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 235 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta de Personal, será posible la cesión del dato específico de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha, a nuestro juicio, mediante la cesión a la Junta de Personal de información debidamente disociada, según el procedimiento definido en el artículo 3 f) de la Ley Orgánica 15/1999, que permita a aquélla conocer las circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto. En consecuencia, procederá, en caso de haber sido formalmente solicitada, la cesión de los datos solicitados, siempre que los mismos sean cedidos de forma disociada,

sin

poder

referenciar

los

datos

a

personas

identificadas

o

identificables. En caso contrario, deberá recabarse el consentimiento de los interesados, conforme exigen los artículos 11 y 21 de la Ley Orgánica 15/1999. Lo anteriormente indicado únicamente quedará exceptuado en lo referente al complemento de productividad, respecto del cual debe recordarse que el artículo 23.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, tras definir en su apartado c) el citado complemento, indica en el último párrafo de este apartado que “en todo caso, las cantidades que perciba cada funcionario por este concepto serán de conocimiento público de los demás funcionarios del Departamento u Organismo interesado así como de los representantes sindicales”. Además, debe recordarse que, en caso de que la cesión tuviera cabida por la condición de representativo del Sindicato consultante, el mismo deberá respetar los principios consagrados en la Ley Orgánica 15/1999, no pudiendo utilizar los datos para funciones distintas de las propias de las facultades de control que la Ley les atribuye. Así, por ejemplo, no podrán utilizar los datos para el ejercicio de sus derechos en juicio, a menos que los mismos sean reclamados al responsable del fichero por el Órgano Jurisdiccional que estuviera conociendo de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 236 de 609

INFORMES JURÍDICOS - EMPLEADOS PÚBLICOS Agencia Vasca de Protección de Datos

reclamación, supuesto en que la cesión tendría cobertura en lo previsto en el artículo 11.2 d) de la Ley Orgánica.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 237 de 609

B) PROCEDIMIENTOS SANCIONADORES PUBLICACIÓN EN WEB DE LOS NOMBRES Y APELLIDOS DE LOS TRABAJADORES DEL AYUNTAMIENTO, JUNTO A LOS SALARIOS MENSUALES Y ANUALES, SIN EL CONSENTIMIENTO DE LOS AFECTADOS. ART. 6.1 LOPD........................................................ 239 PUBLICACIÓN EN UN BOLETIN INFORMATIVO MUNICIPAL DE DATOS DEL PERSONAL DEL AYUNTAMIENTO-NOMBRES Y APELLIDOS, PUESTO DE TRABAJO, RETRIBUCIÓN, NÓMINA Y RÉGIMEN JURÍDICO DE LA RELACIÓN LABORAL. ART. 10 LOPD....................................... 260 COMUNICACIÓN INDEBIDA DE DATOS DEL PERSONAL DEL AYUNTAMIENTO A SINDICATO. ART. 11.1 LOPD.............................................................................................................................. 275 PUBLICACIÓN DE DATOS DE UN TRABAJADOR DESPEDIDO................................................. 294

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 238 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

PUBLICACIÓN EN WEB DE LOS NOMBRES Y APELLIDOS DE LOS TRABAJADORES DEL AYUNTAMIENTO, JUNTO A LOS SALARIOS MENSUALES Y ANUALES, SIN EL CONSENTIMIENTO DE LOS AFECTADOS. ART. 6.1 LOPD Procedimiento Nº.: PS/00425/2008 RESOLUCIÓN: R/00189/2009 En el procedimiento sancionador PS/00425/2008, instruido por la Agencia Española de Protección de Datos a la entidad LOS VERDES EUROPEOS DE LACIANA, vista la denuncia presentada por D. X.X.X. (FSP-UGT), y en base a los siguientes: ANTECEDENTES PRIMERO: Con fecha 31 de agosto de 2006 tuvo entrada en esta Agencia un escrito de D. X.X.X., en su calidad de Presidente del Comité de Empresa del Ayuntamiento de (... ..) y delegado de FSP-UGT (en adelante el denunciante), en el que manifestaba que el 23 de agosto de 2006 se publicó en la página web www... ..Q... . un artículo titulado: “SALARIOS DEL PERSONAL DEL AYUNTAMIENTO DE (... ..) CORRESPONDIENTES AL AÑO 2004”; en el que aparecían los nombres y apellidos de los trabajadores que estaban en plantilla en dicho ejercicio, junto a los salarios mensuales y anuales, sin el consentimiento de los afectados. Según indicaba el denunciante, el día 24 de agosto de 2006, apareció en la misma página web otro artículo titulado: “Donde las dan las toman”, donde aparecía una relación de horas sindicales de D. X.X.X., D. V.V.V., D. Y.Y.Y. y D. Z.Z.Z.. Igual que en el caso anterior, no se recabó el consentimiento de los afectados. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 239 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

1º.- Respecto a la información publicada por en la página www...Q….. 1. El titular del dominio de Internet ... .Q... es D. W.W.W., portavoz de Los Verdes Europeos de Laciana. 2. Según indicó D. W.W.W. a requerimiento de esta Agencia, “los salarios del personal son accesibles al público, puesto que figuran como anexo al presupuesto de la Entidad por imperativo del art. 168.1 c) de Texto Refundido de la Ley Regulatoria de las Haciendas Locales aprobado por R.D.L. de 5-52004. Aprobado el presupuesto, se expondrá al público, previo anuncio en el B.O.P., por espacio de 15 días, durante los cuales, los interesados podrán examinarlos y presentar reclamaciones. (Artículo 169 de la Ley de Haciendas Locales). 3. En relación a la declaración de horas sindicales de los delegados de UGT del Ayuntamiento, el titular del dominio en el que han sido publicados, manifestó que “este tipo de documento también está a disposición de los diferentes grupos políticos que integran la Corporación, así como los miembros del Comité de Empresa del Ayuntamiento y sus respectivas centrales sindicales. 4. No se ha acreditado que se haya recabado el consentimiento de los afectados con anterioridad a la publicación de sus datos en Internet. 2º.- Respecto al Ayuntamiento de (... ..): 1. De acuerdo con la inspección realizada en fecha 21 de noviembre de 2006 en la sede del Ayuntamiento de (... ..) (Acta de Inspección E/986/2006I/1/2006), y según las manifestaciones de los representantes de dicho Ayuntamiento, todos los documentos elaborados por el Comité de Empresa que contienen información sobre la utilización de horas sindicales se registran y se elabora una copia que se entrega directamente al Concejal de Personal al objeto de contabilizar la utilización de horas sindicales conforme lo establecido en el R.D.L. 1/95 y el artículo 42 del Convenio Colectivo. El documento original se custodia en los archivos municipales dependientes del Departamento de Secretaría. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 240 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

2. Debido al cambio de gobierno efectuado el 21 de octubre de 2005, el actual Concejal de Personal desconocía qué tratamientos realizó el anterior equipo de gobierno sobre la declaración de horas sindicales de los delegados de UGT del Ayuntamiento de (... ..) correspondiente al mes de julio de 2004. Al tener conocimiento de la información publicada en Internet, el Concejal

de

Personal

manifiesta

que

realizó una investigación

interna,

concluyendo que el citado documento corresponde al año 2004, anterior a su entrada en el Ayuntamiento, por lo que hasta esa fecha él no había tenido acceso al mismo. 3. En el archivo municipal se encuentra el documento original publicado en la referida página web. Sobre este documento, se verificó que la fecha de registro de entrada es el 6 de agosto de 2004, y que de forma manuscrita consta “K.K.K.”. A la vista de esta información, los representantes del Ayuntamiento, indicaron que, siempre que se hace copia de un documento, se refleja en éste a qué persona se le hace entrega; y que, por ello, la anotación que figura indica que se entregó a D. K.K.K., a la sazón, Concejal de Personal en dicha fecha. 4. La información publicada en la página web correspondía a un borrador de presupuesto elaborado para el ejercicio 2004, del cual se entregó copia a cada grupo político y a los anteriores Concejales de Hacienda y Personal. No se entregó copia de este borrador al partido Los Verdes Europeos Laciana, ya que se estableció como grupo político en 2005. En dicho documento figura un “Anexo de Personal” que contiene una relación con nombre y apellidos, categoría, sueldo anual y mensual, que coincide con la información publicada en Internet. El borrador de presupuesto de 2004 fue llevado a pleno y no se aprobó, por lo que no fue puesto a disposición del público. 5. Cuando se aprueba un presupuesto se publica en el Boletín Oficial de Castilla y León la posibilidad de consultarlo en la Secretaría del Ayuntamiento. La información que contiene no se hace pública en el Boletín Oficial y por tanto en expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 241 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

ningún caso se puede tener acceso a la relación nominal de empleados, categoría profesional y sueldo sin solicitarlo personalmente en la Secretaría. El último presupuesto aprobado por el pleno corresponde al ejercicio 2002. Se ha verificado que las cantidades publicadas no corresponden con las cantidades efectivamente cobradas por los empleados del Ayuntamiento, y sí con las que figuran en el anexo del borrador de presupuesto para el año 2004. TERCERO: En fecha 1 de septiembre de 2008 el Director de la Agencia Española de Protección de Datos, acordó iniciar procedimiento sancionador a LOS VERDES EUROPEOS DE LACIANA, por la posible infracción del artículo 6.1 de la LOPD, tipificada como grave en el también artículo 44.3.d) de la citada Ley Orgánica. CUARTO: En fecha 26 de septiembre de 2008 tuvo entrada en esta Agencia un escrito de D. X.X.X. por el que manifestaba su deseo de personarse en el presente procedimiento sancionador, comunicando, a su vez, detalles sobre informaciones difundidas por medios de comunicación. Asimismo, adjuntaba sendas copias de diversos artículos publicados en distintas fechas en la página web www... ..Q... QUINTO: En fecha 21 de octubre de 2008 se personó en la sede de esta Agencia un representante de la entidad LOS VERDES EUROPEOS DE LACIANA, para tomar vista del expediente y obtener copia de los documentos que formaban parte del expediente a esa fecha, en concreto, folios 1 a 231. SEXTO: En fecha 3 de noviembre de 2008, tras la solicitud de ampliación de plazo que le fue oportunamente concedida, se recibieron alegaciones por parte de LOS VERDES EUROPEOS DE LACIANA. En el escrito presentado se solicitaba expresamente archivar el presente expediente sancionador por caducidad por exceso en el plazo transcurrido entre las actuaciones previas de investigación y la apertura del procedimiento sancionador; por prescripción de la infracción supuestamente cometida y, finalmente, la propia ausencia de infracción, al ser datos personales obtenidos de una fuente accesible al público y por ejercer dicha formación política un derecho constitucionalmente reconocido a la libertad de información veraz por cualquier medio de difusión. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 242 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

SEPTIMO: En fecha 10 de noviembre de 2008 se inició un período de práctica de pruebas, practicándose las siguientes: Incorporar al expediente, y por tanto dar por reproducida a efectos probatorios, la documentación recabada en las actuaciones previas de inspección (E/00986/2006), consistente en el escrito de denuncia, informes de LOS VERDES EUROPEOS DE LACIANA y de la Inspección de 22 de noviembre de 2006, con el Acta de Inspección E/986/2006-I/1/2006; así como las ya citadas alegaciones de LOS VERDES EUROPEOS DE LACIANA de 3 de noviembre de 2008. OCTAVO: Con fecha 15 de diciembre de 2008 se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancionara a LOS VERDES EUROPEOS DE LACIANA con multa de 60.101,21 $(sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma. De acuerdo con lo establecido en el artículo 19.1 del Real Decreto 1398/1993 de 4 de agosto, Reglamento del procedimiento para el ejercicio de la potestad sancionadora, en dicha propuesta de resolución se concedió un plazo de quince días hábiles para que las partes interesadas en el procedimiento pudieran alegar cuanto considerasen para su defensa y presentasen los documentos e informaciones que estimasen pertinentes, así como se detallaba, en un anexo adjunto a esa propuesta de resolución, la relación de documentos obrantes en el procedimiento, a fin de que las partes interesadas en el procedimiento pudieran obtener copia de los que estimasen convenientes. NOVENO: Dicha propuesta fue notificada a LOS VERDES EUROPEOS DE LACIANA en fecha 19 de diciembre de 2008, concediéndose el citado plazo para formular alegaciones. En escrito de fecha 8 de enero de 2009 LOS VERDES EUROPEOS DE LACIANA solicitaron ampliación de plazo, que fue concedido con fecha 12 de enero de 2009. DECIMO: Dicha propuesta fue notificada igualmente a D. X.X.X. en fecha 17 de diciembre

de

2008,

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

concediéndose

también

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

ese

plazo

para

formular

Página 243 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

alegaciones, las cuales, tras el oportuno trámite de audiencia de fecha 19 de enero de 2009, fueron presentadas por D. X.X.X. en fecha 27 de enero de 2009; reiterando las ya efectuadas. Se insistía, no obstante, que “con el animo de desacreditarme al ser el denunciante en este procedimiento, hacen referencia en su página web de mi condición de Socialista, por lo que están haciendo publica mi ideología política sin mi autorización”; por lo que solicitaba la imposición de la sanción en su cuantía máxima, esto es, 300.506,05 €, “ya que en ningún momento han hecho el mínimo gesto de rectificación, sino todo lo contrario, siguen defendiendo la legalidad de los hechos enjuiciados”. HECHOS PROBADOS PRIMERO: Que el partido político LOS VERDES EUROPEOS DE LACIANA cuenta con la página web “www....Q....” (folios 196 y 197). SEGUNDO: Que en la página descrita en el punto anterior, desde agosto de 2006 (folio 1), en el apartado de dicha web titulado “Donde las dan las toman” (www.....Q... ./... ..), se reprodujo un documento en el que el Comité de Empresa del AYUNTAMIENTO DE (... ..) comunicaba la utilización de horas sindicales correspondientes al mes de julio 2004, como Delegados del sindicato UGT, de las siguientes personas allí relacionadas: D. V.V.V., D. Y.Y.Y., D. Z.Z.Z. y D. X.X.X., este último como Presidente de dicho Comité de Empresa. Dicho documento (cuyo original se encuentra archivado en el mencionado Ayuntamiento) tiene un sello de registro con el núm. 7195 (folio 28). TERCERO: Que en la página descrita en el punto primero anterior, y desde la misma fecha, en el apartado “Salarios del personal del Ayuntamiento de (... ..) correspondientes al año 2004” (www... ..Q... ./...2... .), se pudo acceder a un cuadro con el nombre, apellidos, categoría profesional y salario (en su importe anual y mensual, tanto en euros como en pesetas) de cada una de las personas que allí se relacionaban, como personal de ese Ayuntamiento (folios 30 a 38). CUARTO: Que, en un escrito de fecha 20 de octubre de 2006 remitido por parte de LOS VERDES EUROPEOS DE LACIANA a requerimiento de esta Agencia, se podía leer lo siguiente: “(…) debemos manifestar que la publicación ya ha sido expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 244 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

retirada, como así consta en la propia página web”, en referencia a los documentos que se describen en los puntos primero y segundo anteriores (folio 12). QUINTO: Que D. V.V.V., D. Y.Y.Y., D. Z.Z.Z. y D. X.X.X. no dieron su consentimiento para el tratamiento de sus datos personales a LOS VERDES EUROPEOS DE LACIANA, como tampoco para la difusión de sus datos personales que se describen en el punto segundo (folio 1). SEXTO: Que la entidad LOS VERDES EUROPEOS DE LACIANA no ha podido acreditar en el expediente que contara con el consentimiento para el tratamiento de los datos personales de D. V.V.V., D. Y.Y.Y., D. Z.Z.Z. y D. X.X.X., como tampoco de ninguna de las personas afectadas y que formaban parte del personal del AYUNTAMIENTO DE (... ..), relacionadas en el cuadro descrito en el punto tercero anterior (folios 11, 12 y 255 y ss.). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD. II Hay que desestimar la alegación hecha por LOS VERDES EUROPEOS DE LACIANA de que el procedimiento ha caducado por exceder el plazo establecido en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, de acuerdo con lo que se expone a continuación. La Disposición Transitoria quinta del citado R.D. 1720/2007, “Régimen transitorio de las actuaciones previas”, establece que: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 245 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

“A las actuaciones previas iniciadas con anterioridad a la entrada en vigor del presente real decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior. El presente real decreto se aplicará a las actuaciones previas que se inicien después de su entrada en vigor”. De igual modo, es preciso decir que la Disposición transitoria cuarta, “Régimen transitorio de los procedimientos”, de esa misma norma, establece que: “A los procedimientos ya iniciados antes de la entrada en vigor del presente real decreto (19 de abril de 2008), no les será de aplicación el mismo, rigiéndose por la normativa anterior”. A este respecto, hay que señalar que la LOPD no contempla la “caducidad de la acción”, es decir, la fijación de un plazo preclusivo para iniciar el procedimiento, de modo que transcurrido dicho plazo, no pueda iniciarse con posterioridad, extremo éste que sí está contemplado en el nuevo Reglamento con respecto a las actuaciones previas. Así, y de acuerdo con lo que determinan sus disposiciones transitorias, para este caso, en defecto de ley especial, se estará a lo dispuesto por la normativa de aplicación supletoria, esto es, el Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento para el ejercicio de la potestad sancionadora, que en su artículo 12.1 distingue entre iniciación de procedimiento y actuaciones previas, dando cobertura a la realización de actuaciones previas con anterioridad a la incoación del procedimiento, con objeto de determinar con carácter preliminar si concurren circunstancias que justifiquen tal iniciación y, en especial, dirigidas a determinar con la mayor precisión

posible

los

hechos

susceptibles

de

motivar

la

incoación

del

procedimiento, la identificación de la persona o personas que pudieran resultar responsables y las circunstancias relevantes que concurran en unos y otros. La iniciación del procedimiento, es un acto posterior que se formaliza con un contenido mínimo al que hacer eferencia el artículo 13 del citado Reglamento. Esta diferenciación conlleva que no rijan para la práctica de las actuaciones previas

o

preliminares

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

los

plazos

establecidos

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

para

la

tramitación

del

Página 246 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

procedimiento sancionador, procedimiento que todavía no se ha iniciado. La LRJPAC establece, en los apartados 2 y 3 del artículo 42, lo siguiente: “2. El plazo máximo en el que debe notificarse la resolución expresa será el fijado por la norma reguladora del correspondiente procedimiento. Este plazo no podrá exceder de seis meses salvo que una norma con rango de Ley establezca uno mayor o así venga previsto en la normativa comunitaria europea. 3. Cuando las normas reguladoras de los procedimientos no fijen el plazo máximo, éste será de tres meses. Este plazo y los previstos en el apartado anterior se contarán: a. En los procedimientos iniciados de oficio, desde la fecha del acuerdo de iniciación. b. En los iniciados a solicitud del interesado, desde la fecha en que la solicitud haya tenido entrada en el registro del órgano competente para su tramitación”. Por su parte, el artículo 48.3 de la LOPD determina que: “Los procedimientos sancionadores tramitados por la Agencia de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes, salvo los referidos a infracciones de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tendrán una duración máxima de seis meses”. A estos efectos debe considerarse que, tras la presentación de la denuncia (31 de agosto de 2008 - folio 1), la Inspección de Datos realizó actuaciones previas de investigación previas a la iniciación del procedimiento sancionador, de acuerdo con lo previsto en el artículo 12.2 del Real Decreto 1398/1993 anteriormente mencionado, por lo que no formando parte del propio procedimiento no opera respecto de dichas actuaciones el plazo de caducidad previsto en la Ley. Con estas actuaciones previas, que potestativamente puede realizar la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 247 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

Administración, se trata de que por parte del órgano o unidad que tiene atribuidas las funciones de investigación, averiguación o inspección de las infracciones administrativas, en este caso la Subdirección de Inspección de Datos de esta Agencia (artículo 40 de la LOPD), se provean los datos, indicios, elementos o conocimientos necesarios en orden a que la autoridad competente para la iniciación del procedimiento sancionador cuente con ellos de cara a formar su convicción sobre la procedencia o improcedencia de llevar a cabo la incoación del oportuno expediente sancionador. En este mismo sentido, numerosas sentencias de la Audiencia Nacional han indicado el cómputo de los plazos de caducidad. La Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en sentencia de 15 de septiembre de 2004 indicaba lo siguiente: “Alega la parte actora en primer lugar, la caducidad del procedimiento sancionador por haber transcurrido más de seis meses desde que se inició el mismo. Según se aduce por la parte actora el día inicial debe ser tomado bien el de la denuncia o bien el del acta de inspección. El plazo para apreciar la caducidad empieza a computarse desde el acuerdo de iniciación del procedimiento administrativo, y no desde las actuaciones preliminares como postula la entidad recurrente, y ello como hemos señalado en nuestras Sentencias de esta Sección de 24 de mayo de 2002, 11 de mayo de 2001, y 24 de enero de 2003, entre otras. Decíamos en las citadas Sentencias que las actuaciones previas están reguladas en el artículo 12 del real Decreto 1398/1993, de 4 de agosto, estableciendo dicha norma que antes de iniciar el proceso se podrán realizar actuaciones tendentes a determinar con carácter preliminar si concurren circunstancias que justifiquen la iniciación. Debe tenerse en cuenta a estos efectos que es después de dictado el acuerdo de iniciación cuando tiene lugar la instrucción del procedimiento sancionador y puede apreciarse la caducidad, pues el abandono o desidia en su ejercicio que comporta la caducidad mal puede apreciarse cuando no se ha iniciado el procedimiento sancionador (…)”. En el presente caso, el procedimiento sancionador se inició mediante acuerdo expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 248 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

motivado del Director de la Agencia Española de Protección de Datos, de fecha 1 de septiembre de 2008 y se notificó a la entidad imputada, de conformidad con la normativa anteriormente expuesta. III Por lo que respecta a la alegación hecha por LOS VERDES EUROPEOS DE LACIANA sobre la apreciación de la prescripción de la infracción imputada, habrá que estar a lo dispuesto en el artículo 47 de la LOPD, que establece, en sus apartados 1, 2 y 3 lo siguiente: “1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año. 2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido. 3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor”. Dado que la infracción imputada a la operadora es constitutiva de una infracción continuada, caracterizada porque la conducta merecedora de reproche administrativo se mantiene durante un espacio de tiempo prolongado, el cómputo del plazo de prescripción no llega a iniciarse hasta tanto dicha conducta se interrumpe. Así, respecto de la infracción imputada a LOS VERDES EUROPEOS DE LACIANA, el plazo de prescripción de la misma comenzaría a computarse desde el día en que los datos personales de los afectados dejaron de estar indebidamente en la página web en cuestión. Y en este sentido debemos recordar que, en un escrito de fecha 20 de octubre de 2006 remitido por parte de LOS VERDES EUROPEOS DE LACIANA a requerimiento de esta Agencia, se podía leer lo siguiente: “(…) debemos manifestar que la publicación ya ha sido retirada, como así consta en expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 249 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

la propia página web” (folio 12). En consecuencia, la infracción reprochada prescribiría, cuanto menos, el 20 de octubre de 2008. La infracción imputada no habría prescrito, pues, en fecha 1 de septiembre de 2008, que se dictó el Acuerdo de Inicio del presente procedimiento sancionador, ni tampoco cuando fue finalmente notificado, tras varios intentos por el Servicio de Correos, en fecha 8 de octubre de 2008 (folios 217 y 219). Por lo expuesto, hay que concluir que en la fecha de la notificación del Acuerdo de inicio del presente procedimiento sancionador no habían transcurrido los dos años de prescripción señalados en el artículo transcrito para las infracciones graves. En consecuencia, las referidas alegaciones deben ser desestimadas. IV Dicho lo que antecede, el artículo 3.a) de la LOPD define los datos de carácter personal

como:

”Cualquier

información

concerniente

a

personas

físicas

identificadas o identificables”. Añadía el artículo 1.4 del Real Decreto 1332/1994 (en vigor cuando se produjeron los hechos que estamos analizando) que dato de carácter

personal

es

“toda

información

numérica,

alfabética,

gráfica,

fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.” En similares términos se expresa en su artículo 5.f) el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en vigor desde el pasado 19 de abril de 2008. Por lo tanto, los nombres, apellidos, categoría profesional y salario, así como la condición de Delegados del sindicato UGT en el caso concreto de D. V.V.V., D. Y.Y.Y., D. Z.Z.Z. y D. X.X.X., este último como Presidente del Comité de Empresa del AYUNTAMIENTO DE (... ..) son datos personales de los mismos. Por su parte el artículo 3.d) de la LOPD define al responsable del fichero o expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 250 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

tratamiento como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” A su vez, el artículo 3.c) de la LOPD define el tratamiento de datos personales en los siguientes términos: “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que

resulten

de

comunicaciones,

consultas,

interconexiones

y

transferencias.” V Antes de analizar la cuestión principal, es preciso también determinar si la publicación en esa misma página web de los nombres y apellidos de los trabajadores del AYUNTAMIENTO DE (... ..), con sus salarios, viene habilitada por su condición de fuente accesible al público. En cuanto a la cuestión alegada de que estos datos concernientes a nombres y salarios de los trabajadores estaban contenidos en documentos de carácter público, presupuestos municipales y sus anexos, hay que recordar que la LOPD realiza una enumeración taxativa de las fuentes de acceso público. Es evidente que para la normativa de protección de datos el borrador de presupuestos no tiene esa consideración (con el correspondiente “Anexo de Personal”); puesto que dichos presupuestos no fueron aprobados por el pleno de la Corporación finalmente de esa manera (ni en su fase inicial ni definitiva, tal como determina la legislación local en materia presupuestaria), y por lo tanto no publicados en ningún diario oficial. Los tribunales de justicia son muy rigurosos en la interpretación de esta norma (artículo 3.f) de la LOPD), no admitiendo más fuentes accesibles al público que las allí relacionadas. El artículo 3 de la LOPD ya citado, en su apartado j), dispone que: “Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 251 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. No obstante, no hay que olvidar por otra parte que dicho borrador de presupuesto fue facilitado a todos los grupos políticos con representación en el Pleno Corporativo, procedimiento habitual en todos los asuntos que son sometidos al pleno, los cuáles son puestos a disposición de los grupos para su conocimiento y posterior debate y votación. Cuestión distinta es la difusión del dato personal correspondiente a la condición de delegados sindicales de UGT de los afectados, incluido el denunciante, que estaba recogido en el documento custodiado bajo la responsabilidad del AYUNTAMIENTO DE (... ..), que fue publicado en internet, en la dirección www... ..Q... ./... (folio 28). Se trata de la reproducción de un documento (sellado con el número de registro 7195) donde el Comité de Empresa de ese Ayuntamiento comunicaba la utilización de determinadas horas sindicales. En este último supuesto tampoco se trata de un documento accesible al público. VI Así, el artículo 6.1 de la LOPD dispone lo siguiente: “El

tratamiento

de

los

datos

de

carácter

personal

requerirá

el

consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Por su parte, el apartado 2 del mencionado artículo contiene una serie de excepciones a la regla general contenida en aquel apartado 1, estableciendo que: “No será preciso el consentimiento cuando los datos de carácter personal expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 252 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.” El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo) “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).” Son, pues, elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Por otra parte, corresponde siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste, así, en este sentido la Audiencia Nacional, en sentencia de fecha 31 de mayo de 2006 señalaba: “Por otra parte es el responsable del tratamiento (por todas, sentencia de esta Sala de 25 de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 253 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley”. LOS VERDES EUROPEOS DE LACIANA no ha aportado prueba documental que acredite el consentimiento de los denunciantes para que dicha formación política pudiera llevar a cabo el mencionado tratamiento de datos personales, antes bien, los documentos que obran en el procedimiento evidencian que no contaba con su consentimiento. Cabe decir por tanto que, ante la falta de acreditación por LOS VERDES EUROPEOS DE LACIANA del consentimiento de los denunciantes para el tratamiento de datos personales realizado, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima vulnerado por la entidad imputada el artículo 6.1 de la LOPD. Abundando en este sentido, procede citar la sentencia de la Audiencia Nacional de fecha 21 de diciembre de 2001 en la que se declaraba que “de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D. (…) (nombre, apellidos y domicilio), y a la recurrente incumbía el hecho impeditivo o extintivo, cual era el consentimiento del mismo. Es decir, (...) debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art. 6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”. Por tanto corresponde a LOS VERDES EUROPEOS DE LACIANA acreditar que contaba con el consentimiento de los afectados para el tratamiento de los datos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 254 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

personales realizado, máxime cuando éstos niegan haberlo otorgado, sobre todo, en el supuesto de D. V.V.V., D. Y.Y.Y., D. Z.Z.Z. y D. X.X.X. (folio 1). Según ha quedado indicado, LOS VERDES EUROPEOS DE LACIANA no ha acreditado disponer de ese consentimiento. Al contrario, consta en el expediente que no disponía del mismo (folios 11, 12 y 255 y ss.). En consecuencia, por todo lo que antecede, se considera infringido el artículo 6.1 de la LOPD por parte de LOS VERDES EUROPEOS DE LACIANA y que es responsable de dicha infracción al artículo citado, por lo que se desestiman sus alegaciones al respecto. VII El artículo 44.3.d) de la LOPD considera infracción grave: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.” La Audiencia Nacional ha manifestado, en su sentencia de 22 de octubre de 2003, que “la descripción de conductas que establece el artículo 44.3.d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave “tratar de forma automatizada los datos de carácter personal o usarlos

posteriormente

con

conculcación

de

los

principios

y

garantías

establecidos en la Ley”, por tanto, se está describiendo una conducta -el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 255 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos….” En el presente caso, LOS VERDES EUROPEOS DE LACIANA ha tratado los datos personales del personal del AYUNTAMIENTO DE (... ..) y, de manera especial, de D. V.V.V., D. Y.Y.Y., D. Z.Z.Z. y D. X.X.X. sin su consentimiento y ha conculcado el principio del consentimiento regulado en el artículo 6.1 de la LOPD que encuentra su tipificación en el artículo 44.3.d) de dicha norma. VIII El artículo 45.2, 4 y 5 de la LOPD establece que: “2. Las infracciones graves serán sancionadas con multa de 60.101,21 € a 300.506,05 € (…)” 4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. Respecto a los criterios de graduación de las sanciones recogidas en este artículo 45.5 de la LOPD y, en especial, en el presente supuesto en relación a la infracción del artículo 6.1 imputada a LOS VERDES EUROPEOS DE LACIANA, hay que tener en cuenta que dicha formación política tenía el firme convencimiento de estar expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 256 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

aportando a los ciudadanos de (... ..) una información veraz, de interés general, en el ejercicio de su derecho constitucional a la libertad de información, y de estar actuando, en suma, de una forma legítima, por el compromiso ante los ciudadanos en su labor política de oposición a la gestión municipal en materia de gasto público. Por ello, atendidas las circunstancias de este caso concreto, resulta necesario ponderar los derechos en conflicto e imponer la sanción en la cuantía de 2.000 €. La Audiencia Nacional, en sus sentencias de 24 de mayo de 2002 y 16 de febrero de 2005, señaló en cuanto a la aplicación del apartado 5 del citado precepto que “... la presente regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos. (…) la entidad (…) debió adoptar una diligencia mayor y optar por una interpretación en defensa de los intereses del titular del dato, pues no se olvida que este es titular de un derecho fundamental a la libertad informática -STS 202/1999- y las entidades que operan en el mercado de datos y obtienen con ello determinadas ventajas deben siempre obrar con exquisita diligencia y procurar siempre la perfecta comunicación entre el dato y la realidad”. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad LOS VERDES EUROPEOS DE LACIANA, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000,00 € (dos mil euros) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente Resolución a LOS VERDES EUROPEOS DE LACIANA y D. X.X.X. (FSP-UGT). expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 257 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 00000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 258 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 9 de febrero de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 259 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

PUBLICACIÓN EN UN BOLETIN INFORMATIVO MUNICIPAL DE DATOS DEL PERSONAL DEL AYUNTAMIENTO-NOMBRES Y APELLIDOS, PUESTO DE TRABAJO, RETRIBUCIÓN, NÓMINA Y RÉGIMEN JURÍDICO DE LA RELACIÓN LABORAL. ART. 10 LOPD Procedimiento Nº.: AP/00045/2008 RESOLUCIÓN: R/00192/2009 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00045/2008, instruido por la Agencia Española de Protección de Datos a la entidad AYUNTAMIENTO DE VILLABLINO, vista la denuncia presentada por D. X.X.X. (FSPUGT), y en base a los siguientes: ANTECEDENTES PRIMERO: Con fecha 31 de agosto de 2006 tuvo entrada en esta Agencia un escrito de D. X.X.X., en su calidad de “Cargo 1” del Comité de Empresa del Ayuntamiento de Villablino (León) y delegado de FSP-UGT (en adelante el denunciante), en el que manifestaba que el 23 de agosto de 2006 se publicó en la página web www... .Z... . un artículo titulado: “SALARIOS DEL PERSONAL DEL AYUNTAMIENTO DE VILLABLINO CORRESPONDIENTES AL AÑO 2004”; en el que aparecían los nombres y apellidos de los trabajadores que estaban en plantilla en dicho ejercicio, junto a los salarios mensuales y anuales, sin el consentimiento de los afectados. Según indicaba el denunciante, el día 24 de agosto de 2006, apareció en la misma página web otro artículo titulado: “Donde las dan las toman”, donde aparecía una relación de horas sindicales de D. X.X.X., D. W.W.W., D. Y.Y.Y. y D. Z.Z.Z. que en el caso anterior, no se recabó el consentimiento de los afectados. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 260 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

siguientes extremos: 1º.- Respecto a la información publicada por en la página www... .Z... .: 1. El titular del dominio de Internet losverdeslaciana.com es D. K.K.K., portavoz de Los Verdes Europeos de Laciana. 2. Según indicó D. K.K.K. a requerimiento de esta Agencia, “los salarios del personal son accesibles al público, puesto que figuran como anexo al presupuesto de la Entidad por imperativo del art. 168.1 c) de Texto Refundido de la Ley Regulatoria de las Haciendas Locales aprobado por R.D.L. de 5-5-2004. Aprobado el presupuesto, se expondrá al público, previo anuncio en el B.O.P., por espacio de 15 días, durante los cuales, los interesados podrán examinarlos y presentar reclamaciones. (Artículo 169 de la Ley de Haciendas Locales). 3. En relación a la declaración de horas sindicales de los delegados de UGT del Ayuntamiento, el titular del dominio en el que han sido publicados, manifestó que “este tipo de documento también está a disposición de los diferentes grupos políticos que integran la Corporación, así como los miembros del Comité de Empresa del Ayuntamiento y sus respectivas centrales sindicales”. 4. No se ha acreditado que se haya recabado el consentimiento de los afectados con anterioridad a la publicación de sus datos en Internet. 2º.- Respecto al Ayuntamiento de Villablino (León): 1. De acuerdo con la inspección realizada en fecha 21 de noviembre de 2006 en la sede del Ayuntamiento de Villablino (Acta de Inspección E/986/2006I/1/2006), y según las manifestaciones de los representantes de dicho Ayuntamiento, todos los documentos elaborados por el Comité de Empresa que contienen información sobre la utilización de horas sindicales se registran y se elabora una copia que se entrega directamente al “Cargo 2” al objeto de contabilizar la utilización de horas sindicales conforme lo establecido en el R.D.L. 1/95 y el artículo 42 del Convenio Colectivo.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 261 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

El documento original se custodia en los archivos municipales dependientes del Departamento de Secretaría.

2. Debido al cambio de gobierno efectuado el 21 de octubre de 2005, el actual “Cargo 2” desconocía qué tratamientos realizó el anterior equipo de gobierno sobre la declaración de horas sindicales de los delegados de UGT del Ayuntamiento de Villablino correspondiente al mes de julio de 2004. tener conocimiento de la información publicada en Internet, el “Cargo 2” manifiesta que realizó una investigación interna, concluyendo que el citado documento corresponde al año 2004, anterior a su entrada en el Ayuntamiento, por lo que hasta esa fecha él no había tenido acceso al mismo. 3. En el archivo municipal se encuentra el documento original publicado en la referida página web. Sobre este documento, se verificó que la fecha de registro de entrada es el 6 de agosto de 2004, y que de forma manuscrita consta “Ñ.Ñ.Ñ.”. A la vista de esta información, los representantes del Ayuntamiento, indicaron que, siempre que se hace copia de un documento, se refleja en éste a qué persona se le hace entrega; y que, por ello, la anotación que figura indica que se entregó a D. Ñ.Ñ.Ñ., a la sazón, “Cargo 2” en dicha fecha. 4. La información publicada en la página web correspondía a un borrador de presupuesto elaborado para el ejercicio 2004, del cual se entregó copia a cada grupo político y a los anteriores Concejales de Hacienda y Personal. No se entregó copia de este borrador al partido Los Verdes Europeos Laciana, ya que se estableció como grupo político en 2005. En dicho documento figura un “Anexo de Personal” que contiene una relación con nombre y apellidos, categoría, sueldo anual y mensual, que coincide con la información publicada en Internet. El borrador de presupuesto de 2004 fue llevado a pleno y no se aprobó, por lo que no fue puesto a disposición del público. 5. Cuando se aprueba un presupuesto se publica en el Boletín Oficial de Castilla y León, con la posibilidad de consultarlo en la Secretaría del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 262 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

Ayuntamiento. La información que contiene no se hace pública en el Boletín Oficial y por tanto en ningún caso se puede tener acceso a la relación nominal de empleados, categoría profesional y sueldo sin solicitarlo personalmente en la Secretaría. El último presupuesto aprobado por el pleno corresponde al ejercicio 2002. Se ha verificado que las cantidades publicadas no corresponden con las cantidades efectivamente cobradas por los empleados del Ayuntamiento, y sí con las que figuran en el anexo del borrador de presupuesto para el año 2004. TERCERO: En fecha 1 de septiembre de 2008 el Director de la Agencia Española de Protección de Datos, acordó iniciar procedimiento de Declaración de Infracción de Administraciones Públicas a la entidad AYUNTAMIENTO DE VILLABLINO, por la posible infracción del artículo 10 de la LOPD, en relación con el artículo 7.2 de la misma norma; infracción tipificada como muy grave en el artículo 44.4.g) de la citada Ley Orgánica. CUARTO: En fecha 3 de octubre de 2008 tuvo entrada en esta Agencia un escrito de alegaciones por parte del AYUNTAMIENTO DE VILLABLINO. En dicho escrito se solicitaba el archivo del expediente, dado que los datos concernientes a nombres y salarios de los trabajadores estaban contenidos en documentos de carácter público, presupuestos municipales y sus anexos, y que el borrador de presupuesto “fue facilitado a todos los grupos políticos con representación en el Pleno Corporativo, procedimiento habitual en todos los asuntos que son sometidos al pleno, los cuáles son puestos a disposición de los grupos para su conocimiento y posterior debate y votación”. Asimismo, respecto a los datos relativos a horas sindicales de alguno de esos trabajadores el AYUNTAMIENTO DE VILLABLINO alegaba en su escrito que “no son datos relativos a afiliación sindical o ideología, sino que solamente hacen referencia al disfrute de un derecho que tienen atribuido los representantes sindicales”. Por ello, consideraba que existe un error en la tipificación de la falta como muy grave. QUINTO: En fecha 17 de octubre de 2008 se inició un período de práctica de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 263 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

pruebas, practicándose las siguientes: 1º.- Incorporar al expediente, y por tanto dar por reproducida a efectos probatorios, la documentación recabada en las actuaciones previas de inspección (E/00986/2006), consistente en el escrito de denuncia, informes de Los Verdes Europeos de Laciana y de la Inspección de 22 de noviembre de 2006, con el Acta de Inspección E/986/2006-I/1/2006; así como las alegaciones del AYUNTAMIENTO DE VILLABLINO de 19 de septiembre de 2008. 2º.- Requerir a Los Verdes Europeos de Laciana para que, en el plazo de diez días hábiles desde su recepción, contestara a la siguiente pregunta: “¿Cuál fue la fuente (persona o personas) que les proporcionó los datos personales que publicaron en su página web www... .Z... (sección: “dondelasdanlastoman” y “salarios2004”) en fecha 19 de septiembre de 2006, respecto a los salarios del personal del Ayuntamiento de Villablino (con difusión de nombre y apellidos, importe total anual y mensual en euros y pesetas y categoría profesional) y, en especial, respecto al documento interno de dicho Ayuntamiento de fecha 6 de agosto de 2004 (núm. de registro. 7195), donde se comunicaban por parte del Comité de Empresa las horas sindicales de los delegados del sindicato UGT correspondientes al mes de julio de dicho año?”. SEXTO: Este requerimiento no fue atendido por dicha formación política en el plazo otorgado para ello. SEPTIMO: Con fecha 27 de noviembre de 2008 se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se dictase resolución por la que se declarase que el AYUNTAMIENTO DE VILLABLINO ha infringido lo dispuesto en el artículo 10 de la LOPD, lo que supone una infracción tipificada como muy grave en el artículo 44.4.g) de la citada norma. De acuerdo con lo establecido en el artículo 19.1 del Real Decreto 1398/1993 de 4 de agosto, Reglamento del procedimiento para el ejercicio de la potestad sancionadora, en dicha propuesta de resolución se concedió un plazo de quince días hábiles para que las partes interesadas en el procedimiento expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 264 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

pudieran alegar cuanto considerasen para su defensa y presentasen los documentos e informaciones que estimasen pertinentes, así como se detallaba, en un anexo adjunto a esa propuesta de resolución, la relación de documentos obrantes en el procedimiento, a fin de que las partes interesadas en el procedimiento pudieran obtener copia de los que estimasen convenientes. OCTAVO: Dicha propuesta fue notificada al AYUNTAMIENTO DE VILLABLINO en fecha 1 de diciembre de 2008, concediéndose el citado plazo para formular alegaciones. NOVENO: En fecha 2 de diciembre de 2008 tuvo entrada en esta Agencia un escrito remitido por Los Verdes Europeos de Laciana en contestación al requerimiento efectuado, y no atendido en plazo, que se detalla en el punto quinto anterior. En dicho escrito se decía que se consideraba necesario resolver con carácter previo el procedimiento sancionador PS/00425/2008 abierto a dicha formación política por esta Agencia por los mismos hechos, para poder “formular algún

tipo

de

declaración

al

respecto

en

el

presente

expediente”

(AP/00045/2008), en el ejercicio de sus derechos constitucionales a no confesarse culpable y a la presunción de inocencia. Por ello, se solicitaba la ampliación del plazo de contestación a un mes, “al objeto de que se pueda realizar la correspondiente investigación interna”, y “sin perjuicio, por supuesto, de no ser tenidas dichas manifestaciones para el procedimiento sancionador 00425/2008 citado, todo ello según los derechos constitucionales antes aludidos”. DECIMO: En fecha 19 de enero de 2009 se personó en esta Agencia un representante del AYUNTAMIENTO DE VILLABLINO para tomar vista del expediente y obtener copia de determinados documentos del expediente. HECHOS PROBADOS PRIMERO: Que en fecha 19 de septiembre de 2006, a través de internet, en la ./....., cuyo dominio es “... .Z...” (folios 196 y 197), se podía acceder a una reproducción

de

un

documento

donde

el

Comité

de

Empresa

del

AYUNTAMIENTO DE VILLABLINO comunicaba la utilización de horas sindicales correspondientes al mes de julio 2004 de los siguientes Delegados del sindicato expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 265 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

UGT: D. Y.Y.Y., D. W.W.W., D. Z.Z.Z. y D. X.X.X., este último como “Cargo 1” de dicho Comité de Empresa. Dicho documento tiene un sello de registro con el núm. 7195 SEGUNDO: Que en fecha 21 de noviembre de 2006 se llevó a cabo una inspección por parte de esta Agencia Española de Protección de Datos en la sede del AYUNTAMIENTO DE VILLABLINO en la que se puso de manifiesto lo siguiente: En el archivo municipal se encontraba el documento original publicado en la referida página web. Sobre este documento, se verificó que la fecha de registro de entrada es el 6 de agosto de 2004 (núm. 7195) (folio 39), y que de forma manuscrita consta “Ñ.Ñ.Ñ.”. A la vista de esta información, los representantes del Ayuntamiento indicaron que, siempre que se hace copia de un documento, se refleja en éste, a qué persona se le hace entrega y que, por ello, la anotación que figura indica que se entregó a D. Ñ.Ñ.Ñ., “Cargo 2” en dicha fecha. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD. II El artículo 3.a) de la LOPD define los datos de carácter personal como: ”Cualquier

información

concerniente

a

personas

físicas

identificadas

o

identificables”. Añadía el artículo 1.4 del Real Decreto 1332/1994 (en vigor cuando se produjeron los hechos que estamos analizando) que dato de carácter personal es “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.” En expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 266 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

similares términos se expresa en su artículo 5.f) el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en vigor desde el pasado 19 de abril de 2008. Por su parte el artículo 3.d) de la LOPD define al responsable del fichero o tratamiento como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” A su vez, el artículo 3.c) de la LOPD define el tratamiento de datos personales en los siguientes términos: “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que

resulten

de

comunicaciones,

consultas,

interconexiones

y

transferencias.” Por lo tanto, los nombres y condición de Delegados del sindicato UGT de D. Y.Y.Y., D. W.W.W., D. Z.Z.Z. y D. X.X.X., este último como “Cargo 1” del Comité de Empresa del AYUNTAMIENTO DE VILLABLINO son datos personales de los mismos, que, además, en este caso, muestran su afiliación sindical. III Antes de analizar esta cuestión, es preciso determinar si la publicación en esa misma página web de los nombres y apellidos de los trabajadores del AYUNTAMIENTO DE VILLABLINO, con sus salarios, debe tenerse en cuenta en el presente procedimiento sancionador. En cuanto a la cuestión alegada por el Ayuntamiento de que estos datos concernientes a nombres y salarios de los trabajadores estaban contenidos en documentos de carácter público, presupuestos municipales y sus anexos, hay que recordar que la LOPD realiza una enumeración taxativa de las fuentes de acceso público. Es evidente que para la normativa de protección de datos el borrador de presupuestos no tiene esa consideración (con el correspondiente expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 267 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

“Anexo de Personal”); puesto que dichos presupuestos no fueron aprobados por el pleno de la Corporación finalmente de esa manera (ni en su fase inicial ni definitiva, tal como determina la legislación local en materia presupuestaria), y por lo tanto no publicados en ningún diario oficial. Los tribunales de justicia han sido muy rigurosos en la interpretación de esta norma (artículo 3.f) de la LOPD), no admitiendo más fuentes accesibles al público que las allí relacionadas. No obstante, no hay que olvidar por otra parte que dicho borrador de presupuesto “fue facilitado a todos los grupos políticos con representación en el Pleno Corporativo, procedimiento habitual en todos los asuntos que son sometidos al pleno, los cuáles son puestos a disposición de los grupos para su conocimiento y posterior debate y votación”. Y esto nos lleva a otro aspecto importante de la cuestión, a saber: determinar quién o quiénes facilitaron al partido político Los Verdes Europeos de Laciana dicho borrador de presupuestos municipales, no aprobados ni siquiera en su estadio inicial, y por ello, no pudiendo ser difundido a los ciudadanos; borrador del que surgió la información sobre salarios publicada en su web. Recordemos que Los Verdes Europeos de Laciana no han declarado en este expediente quién o quiénes facilitaron el anexo de los presupuestos en cuestión con los salarios de los trabajadores. De este modo, conviene recordar que los artículos 24.2 de la Constitución Española y 137 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, reconocen el derecho a la presunción de inocencia en el ámbito del procedimiento administrativo sancionador. Su contenido esencial implica no sólo la acreditación de los hechos ilícitos, sino también “...la prueba de la responsabilidad del sujeto en la comisión de los mismos” (sentencia del Tribunal Supremo de 2 de julio de 1990). La presunción de inocencia debe regir, sin excepciones, en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del “ius puniendi” del Estado, en sus diversas manifestaciones, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 268 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal Constitucional, en su sentencia 76/1990 de 26 de abril de 2004, consideraba que el derecho a la presunción de inocencia comporta: “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio.” Conforme señalaba, asimismo, el Tribunal Supremo, en su sentencia de 26 de octubre de 1998, el derecho a la presunción de inocencia “no se opone a que la convicción judicial en un proceso pueda formarse sobre la base de una prueba indiciaria, pero para que esta prueba pueda desvirtuar dicha presunción debe satisfacer las siguientes exigencias constitucionales: los indicios han de estar plenamente probados - no puede tratarse de meras sospechas - y tiene que explicitar el razonamiento en virtud del cual, partiendo de los indicios probados, ha llegado a la conclusión de que el imputado realizó la conducta infractora, pues, de otro modo, ni la subsunción estaría fundada en Derecho ni habría manera de determinar si el proceso deductivo es arbitrario, irracional o absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al estimar que la actividad probatoria pueda entenderse de cargo.” Como conclusión de las actuaciones realizadas por parte de la Inspección de Datos en relación a los hechos comunicados por el denunciante se deduce que no ha quedado acreditado en el expediente el origen de la información difundida en la página web del partido político, en referencia a los salarios de los trabajadores. Por lo tanto, en atención a lo expuesto, y teniendo en cuenta lo expuesto, que no se ha podido acreditar que los datos sobre nombre, apellidos, categoría profesional y salarios que daban soporte a la información difundida hubiesen sido facilitados por persona o personas claramente identificables, frente a la certeza y concreción exigida en estos supuestos para poder calificar la conducta como sancionable, debe concluirse que no existe prueba de cargo suficiente sobre la responsabilidad de la revelación de esos datos personales en expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 269 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

concreto. Cuestión distinta es la difusión del dato personal correspondiente a la condición de delegados sindicales de UGT de los afectados, incluido el denunciante, que estaba recogido en el documento custodiado bajo la responsabilidad del AYUNTAMIENTO DE VILLABLINO, que fue publicado en internet en fecha 19 de septiembre de 2006, en la dirección www….Z…/….(folio 28), cuyo dominio es “... .Z...” (folios 196 y 197). Se trata de la reproducción de un documento (sellado con el número de registro 7195) donde el Comité de Empresa de ese Ayuntamiento comunicaba la utilización de determinadas horas sindicales. IV Dicho lo que antecede, el artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así, el Tribunal Superior de Justicia de Madrid declaró en su sentencia de 19 de julio de 2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”. En este sentido, la Audiencia Nacional también ha señalado, entre otras, en sentencias de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004 lo siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 270 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un (STC 292/2000). Derecho fundamental a la protección de los datos que (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, . No consta que existiese ninguna habilitación legal para facilitar la información que contenía el documento en cuestión a terceros, y tampoco el AYUNTAMIENTO DE VILLABLINO ha justificado que dispusiera del consentimiento de los afectados para dicha comunicación de datos. Por tanto, se incumplió el deber de secreto con la revelación de datos personales a un tercero reseñada, que puede calificarse como un incumplimiento de lo dispuesto en la normativa de protección de datos. En el presente caso ha quedado acreditado en el expediente que un documento en poder del AYUNTAMIENTO DE VILLABLINO con datos personales de afiliación sindical de varios de sus trabajadores es publicado en la página web www... .Z... ., por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD, en relación con el artículo 7.2 de la misma norma. V El artículo 44.4.g) de la LOPD, califica como infracción muy grave: “La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 271 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.” Por su parte, el artículo 7 de la LOPD, “Datos especialmente protegidos”, en su apartado 2, establece que: “Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado”. De acuerdo con los fundamentos anteriores, hay que entender que por parte del AYUNTAMIENTO DE VILLABLINO se ha producido una vulneración del deber de secreto que, dado que dicho documento contiene información concierne a datos personales de los cuatro trabajadores afectados que revelan su afiliación sindical, y que procede calificar la infracción como infracción muy grave. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE VILLABLINO ha infringido lo dispuesto en el artículo 10 de la LOPD, en relación con el artículo 7.2 de la misma norma; tipificada como muy grave en el artículo 44.4.g) de la citada Ley Orgánica. SEGUNDO: REQUERIR al AYUNTAMIENTO DE VILLABLINO, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD, en relación con el artículo 7 de la misma norma. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 272 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

TERCERO: NOTIFICAR la presente Resolución al AYUNTAMIENTO DE VILLABLINO y a D. X.X.X. (FSP-UGT). CUARTO: COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 273 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 9 de febrero de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 274 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

COMUNICACIÓN INDEBIDA DE DATOS DEL PERSONAL DEL AYUNTAMIENTO A SINDICATO. ART. 11.1 LOPD Procedimiento Nº AP/00024/2008 RESOLUCIÓN: R/00218/2009 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00024/2008, instruido por la Agencia Española de Protección de Datos a la entidad Ayuntamiento de Zaragoza, vista la denuncia presentada por D. B.B.B. y D. F.F.F., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 4/12/2006 tiene entrada en esta Agencia un escrito de D. F.F.F. en el que declara que con fecha 24/11/2006, recibió en su domicilio una carta fechada el 2/11/06 remitida por correo ordinario por el Sindicato SOFICAD, solicitando su afiliación. Manifiesta el denunciante no mantener relación alguna con dicho sindicato y que nunca ha proporcionado al mismo sus datos personales. Sin embargo se da la circunstancia de que la etiqueta que lleva el sobre seguramente proviene del Exmo. Ayuntamiento de Zaragoza, dado que tiene el anagrama del centro como marca de agua y la grafía es la misma que la utilizada en anteriores envíos que le han sido remitidos por dicho Ayuntamiento. D. F.F.F. igualmente manifiesta no haber prestado su consentimiento al Ayuntamiento para la cesión de sus datos. Esta denuncia ha dado lugar a las actuaciones E/01249/2006. Por otra parte, con fechas 23/1/2007 y 29/1/2007, han tenido entrada sendos escritos presentados por D. B.B.B., en representación de:

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

D. L.L.L.,

D. H.H.H.,

Dª S.S.S.,

D. K.K.K.,

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 275 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

D. E.E.E.,

D. U.U.U.,

Dª T.T.T.,

Dª I.I.I.,

D. P.P.P.,

D. M.M.M.,

Dª A.A.A.,

Dª G.G.G.

En los citados escritos se denuncia que gran número de trabajadores municipales han recibido en sus domicilios particulares una comunicación de un sindicato denominado Sindicato Independiente de Oficios y Administrativos, que no tiene representación alguna en el Ayuntamiento de Zaragoza. La comunicación se envía en sobres con el anagrama del Ayuntamiento, lo que induce a pensar que dichos datos personales han sido proporcionados por el propio Ayuntamiento o por terceros sin el consentimiento de los afectados. Según manifiesta el denunciante, la emisión de las cartas con etiquetas municipales fue realizada con anterioridad a la fecha de constitución del sindicato, pues con fecha 1/1/2007 se publicó en el BOE resolución de la Dirección General de Trabajo por la que se anuncia el depósito de los estatutos del Sindicato Independiente de Oficios y Administrativos (en lo sucesivo SOFICAD), cuya solicitud fue realizada con fecha 11/12/2006, apareciendo como domicilio del Sindicato mencionado la (C/…..) Esta denuncia ha dado lugar a las actuaciones E/00200/2007. Las citadas denuncias aportan un escrito de SOFICAD fechado en Zaragoza a 2/11/2006 que incluye un formulario de solicitud de alta en el sindicato. En el sobre que adjuntan consta su nombre y dirección. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 276 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

siguientes extremos: 1. Respecto del Sindicato Independiente de Oficios y Administrativos (SOFICAD) Tras varios intentos de contactar con SOFICAD por parte de esta Inspección de Datos, finalmente un miembro del mismo se puso en contacto telefónico facilitando el domicilio provisional de dicho sindicato. El representante de SOFICAD, en su escrito con fecha de entrada de 12/6/07, manifiesta que desconocen la identidad de D. F.F.F., pero por la documentación aportada suponen que se trata de un funcionario del Ayuntamiento de Zaragoza. SOFICAD

fue

creado

para

completar

el

ámbito

de

influencia

de

la

Confederación de Seguridad Local (en lo sucesivo CSL), confederación con mayoría sindical en el Ayuntamiento de Zaragoza. A fecha del escrito remitido por SOFICAD (4/6/07), los dos únicos sindicatos que conforman CSL son: - CIPOL: Candidatura Independiente de Policía Local - SPBA: Sindicato Profesional de Bomberos de Aragón Estos dos sindicatos, al ser profesionales, sólo abarcaban a la Policía Local y a los Bomberos, por lo que para incorporar a la totalidad de las Secciones del Ayuntamiento de Zaragoza, se creó SOFICAD y así lo demuestra el acuerdo de integración en la Confederación firmado el mismo día de la creación del sindicato. CSL-CIPOL solicitó en su momento al Ayuntamiento de Zaragoza, etiquetas del personal municipal para enviar información sindical por carta, y desde el Ayuntamiento no se puso objeción al respecto entregándose las etiquetas con los datos de la totalidad de la plantilla municipal con el logotipo utilizado por el mismo al fondo de cada etiqueta. CSL-CIPOL, con los datos aportados por el Ayuntamiento de Zaragoza y dentro del acuerdo de colaboración sindical de fecha 2/11/06, realizaron un mailing a todo el personal municipal presentando el nuevo sindicato ya que SOFICAD expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 277 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

carece de cualquier base de datos, equipos informáticos o sede definitiva, pues se creó con la idea de participar en las elecciones sindicales de marzo de 2007 y una vez conseguida la delegación sindical, ser una parte más de CSL, utilizando sus mismos locales y medios disponibles. Por tanto, SOFICAD no envió directamente ninguna carta, ni solicitó etiquetas ni información al respecto de nadie, sino que fue CSL quien dentro de sus atribuciones realizó las gestiones legales para dar publicidad del nuevo sindicato asociado a la Confederación, al tener ésta una representación mayoritaria dentro del Ayuntamiento de Zaragoza y disponer de autorización para facilitar información sindical dentro del mismo. Por otra parte, de la información facilitada por SOFICAD durante la inspección realizada en dicha entidad en fecha 22/5/07 en el transcurso de las actuaciones de referencia E/200/2007, así como de la aportación documental, se desprende lo siguiente: - El sindicato fue constituido en fecha 2/11/2006, siendo depositados los estatutos en fecha 11/12/2006 en el Registro de la Dirección General de Trabajo del Ministerio de Trabajo y Asuntos Sociales, según consta en la copia de los estatutos aportada durante la inspección. - El sindicato formalizó un acuerdo de colaboración con la CSL de manera que una vez SOFICAD obtuviera representación sindical, pasaría a formar parte de la Confederación. En la copia del acuerdo aportado consta literalmente: “… unir fuerzas para defender los intereses de los trabajadores, compartir información sindical, compartir instalaciones y sedes sindicales, material, equipos y todos aquellos instrumentos necesarios para la mayor eficacia y acción sindical…” - Dentro de este acuerdo se contempla la promoción de SOFICAD entre los trabajadores del Ayuntamiento de Zaragoza. Por ese motivo SOFICAD redactó una carta de presentación que fue entregada a CSL. Dicha carta debía ser remitida a los trabajadores del Ayuntamiento de Zaragoza por CSL cuando expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 278 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

SOFICAD lo indicara explícitamente. Mostrada en la inspección una carta incluida en la denuncia, es reconocida por los representantes de SOFICAD como idéntica al modelo suministrado a CSL. - Posteriormente, y en cumplimiento de la legislación vigente, el Ayuntamiento de Zaragoza proporcionó a la Sección Sindical de SOFICAD, en fecha aproximada 14/3/2007, el censo de trabajadores de la Corporación así como unas etiquetas para el envío de publicidad electoral que SOFICAD utilizó, remitiendo en fecha situada entre el 15 y el 24/3/2007, una carta cuyo modelo aporta. SOFICAD aporta igualmente un sobre de los enviados en dicha ocasión, con una de las etiquetas proporcionadas por el Ayuntamiento en la cual consta el nombre completo y la dirección personal del destinatario de la carta. El sindicato también ha aportado la primera página del listado de personal obtenido del Ayuntamiento de Zaragoza. Dicho listado está fechado el 8/2/2007 y titulado “ELECCIONES SINDICALES 2007.- CENSO POR CENTROS DE TRABAJO”, apareciendo en el listado el centro de trabajo, la dependencia de cada centro y los empleados de cada dependencia, de los que consta el nombre completo. - No habiendo obtenido representación sindical, SOFICAD no ha obtenido del Ayuntamiento medios informáticos, por lo que no disponen de un ordenador, manteniendo toda su información en papel 2. Respecto de CSL-CIPOL Durante la visita de inspección a CIPOL realizada en fecha 14/5/2007 en el transcurso de las actuaciones de referencia E/200/2007, los representantes de la entidad realizaron las siguientes manifestaciones: CIPOL es un sindicato integrado en la Confederación de Seguridad Local (CSL). Como parte del cumplimiento de un acuerdo con el sindicato SOFICAD, por el que se le presta apoyo al nuevo sindicato, CIPOL recibió un modelo de carta para remitir al personal del Ayuntamiento, informando de la creación de SOFICAD, y aportando un formulario de afiliación para que los interesados expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 279 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

pudiesen afiliarse al nuevo sindicato. Dicho envío fue puesto en correos en fecha 23/11/2005. Para la remisión de las citadas cartas, CIPOL solicitó al Ayuntamiento que se le proporcionasen etiquetas personalizadas. Dicha solicitud fue realizada por escrito, sin embargo CIPOL no conserva copia de la solicitud concreta utilizada para el envío. Aporta copia de otra solicitud similar. CIPOL manifiesta que tanto la solicitud de etiquetas como el envío de las cartas se enmarca dentro de la potestad otorgada por la Ley Orgánica de Libertad Sindical para informar a los trabajadores que representa. La solicitud de etiquetas se realiza habitualmente al Ayuntamiento, siempre mediante escrito dirigido al Servicio de Personal, y el Ayuntamiento las ha proporcionado hasta el momento sin necesidad de más trámites. 3. Respecto del AYUNTAMIENTO DE ZARAGOZA Durante la visita de inspección realizada al AYUNTAMIENTO en fecha 14/6/2007 en el transcurso de las actuaciones de referencia E/200/2007, la representante de la entidad realiza las siguientes manifestaciones: La entrega de etiquetas con datos personales por parte del Ayuntamiento a los sindicatos se hace habitualmente, solicitándose por escrito o de forma verbal. No se recaba acuse de recibo por parte del Ayuntamiento en el momento de la entrega, ya que los funcionarios del Servicio de Personal conocen a los representantes sindicales. La confección de las etiquetas se realiza a partir del fichero “Personal” que contiene los “datos personales de la gestión integrada del personal municipal”, registrado con el número *** *** en el Registro General de Protección de Datos. Entre la documentación adjunta al escrito con fecha de entrada de 30/07/07, remitido a la Agencia en relación con las actuaciones de referencia E/200/2007, se encuentran las anotaciones del Registro de entrada y salida de soportes expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 280 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

donde consta una entrega en disquete realizada por el Ayuntamiento a los sindicatos, conteniendo identificación, domicilio, fecha de nacimiento, etc. de personas cuyos datos se almacenan en el fichero de “Personal”. Así mismo consta una hoja con entregas a diversos sindicatos desde el año 2001 y una hoja con las entregas de etiquetas a sindicatos realizadas desde enero de 2007. TERCERO: Con fecha 2 de octubre de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al Ayuntamiento de Zaragoza por la presunta infracción del artículo 11.1 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley Orgánica. CUARTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas en fecha 10 de octubre de 2008, el Ayuntamiento de Zaragoza presentó escrito de alegaciones en el que, en síntesis, manifestaba que CSL-CIPOL es un Sindicato con representación en la Junta de Personal del Ayuntamiento de Zaragoza que fue quien solicitó etiquetas del personal municipal para enviar información sindical por carta y que a partir de este hecho se realiza una calificación jurídica, incorrecta. Manifiesta también “que los datos fueron cedidos a Organizaciones Sindicales con representación en el Ayuntamiento de Zaragoza, al amparo y para dar cumplimiento a los derechos de libertad sindical, y de participación, no siendo responsable el Ayuntamiento de Zaragoza de las posibles cesiones posteriores que pudieran efectuarse”. Concluye solicitando “que se dicte resolución en la que se acuerde el sobreseimiento del expediente sancionador y que subsidiariamente en caso de no estimar la petición de archivo del expediente, se disponga y gradúe la infracción conforme a lo establecido en el artículo 45.4 y 45.5 de la Ley Orgánica, de 13 de diciembre, de Protección de Datos de Carácter Personal”. QUINTO: Con fecha 27 de noviembre de 2008, se acordó por el Instructor del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas

las

actuaciones

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

previas

de

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

investigación,

E/01249/2006 Página 281 de 609

y

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

E/00200/2007, así como la documentación obrante en el mismo. SEXTO: Con fecha 19 de enero de 2009 se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se declarara que el Ayuntamiento de Zaragoza ha infringido lo dispuesto en el artículo 11.1 de la LOPD; infracción tipificada como muy grave en el artículo 44.4.b) de dicha norma, dándose traslado para alegaciones. El Ayuntamiento de Zaragoza presentó alegaciones a la propuesta de resolución, en la que se vuelve a ratificar en las manifestaciones vertidas con anterioridad, insistiendo en que “la imputación no se considera correcta, entre otros motivos, por cuanto los datos fueron

cedidos

a

Organizaciones

Sindicales

con

representación

en

el

Ayuntamiento de Zaragoza, al amparo y para dar cumplimiento a los derechos de libertad sindical, y de participación, no siendo responsable el Ayuntamiento de Zaragoza de las posibles cesiones posteriores que pudieran efectuarse”. HECHOS PROBADOS PRIMERO: Que varios trabajadores del Ayuntamiento de Zaragoza han recibido en sus domicilios particulares una carta fechada el 2/11/06 de un sindicato denominado

Sindicato

Independiente

de

Oficios

y

Administrativos.

La

comunicación se envía en sobres con etiquetas con el anagrama del Ayuntamiento (folios 1 a 6 y 62 a 118). SEGUNDO: Que el sindicato CIPOL (Candidatura Independiente de Policía Local), en cumplimiento de un acuerdo por el que se le presta apoyo a un sindicato de nueva creación llamado SOFICAD, recibió un modelo de carta para remitir al personal del Ayuntamiento, informando de la creación del sindicato SOFICAD, y aportando un formulario de afiliación para que los interesados pudiesen afiliarse al nuevo sindicato. Dicho envío fue puesto en correos en fecha 23/11/2006 (folios 160, 169 y 170). TERCERO: Que para la remisión de las citadas cartas, CIPOL solicitó al Ayuntamiento que se le proporcionasen etiquetas personalizadas para enviarlas al domicilio particular de los empleados municipales. Dicha solicitud fue realizada por escrito. Aporta copia de otra solicitud similar (folios 169 a 171). expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 282 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

CUARTO: Que la entrega de etiquetas con datos personales que incluyen el domicilio particular de los trabajadores por parte del Ayuntamiento a los sindicatos, se hace habitualmente solicitándose por escrito o de forma verbal. QUINTO: Que los demandantes, en ningún momento dieron al Ayuntamiento de Zaragoza su consentimiento para la cesión de sus datos personales a terceros, en especial su domicilio particular, con indicación de piso y letra (folios 1 y 62). SEXTO: Que el Ayuntamiento de Zaragoza no ha podido acreditar en el expediente que contara con el consentimiento para la cesión a terceros de los datos personales, en especial el domicilio particular, con indicación de piso y letra, de los demandantes, empleados municipales (folios 173 y 174). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II En relación con los hechos que se imputan en el presente procedimiento, se hace necesario en primer lugar transcribir los conceptos de datos de carácter personal, fichero, tratamiento de datos y responsable del fichero o del tratamiento que se acuñan en los apartados a), b), c), d), h) e i) del artículo 3 de la LOPD. De este modo, tenemos que: “a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 283 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que

resulten

de

comunicaciones,

consultas,

interconexiones

y

transferencias. d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. (…) h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado”. Por su parte, la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se refiere en su artículo 2.b) a la cesión, dentro de la definición del tratamiento de datos, y la define como “comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso de los datos, cotejo o interconexión.” III Se imputa al Ayuntamiento de Zaragoza una infracción del artículo 11 de la LOPD, que dispone en sus apartados 1 y 2 lo siguiente: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 284 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

2. El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”. Añade el punto 3 del citado artículo 11 de la LOPD que “será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar”. El tratamiento de datos sin consentimiento de los afectados constituye un límite al expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 285 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo) “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).” En sintonía con esta doctrina constitucional, la sentencia de la Audiencia Nacional de 2 de febrero de 2005, entre otras, dice lo siguiente: “El derecho fundamental a la protección de datos persigue, en suma, garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino; o dicho de otro modo, del derecho a la intimidad permite excluir ciertos datos personales del conocimiento ajeno; mientras que el derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Por lo tanto, el objeto de la protección de datos- de aquí su singularidad- es más amplio que el objeto de la intimidad , pues entre otras cosas, y en lo que ahora nos interesa tiene como contenidos esencial del mismo, el conferir a la persona afectada el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera intimad de la persona y la prohibición de usar de los datos a ella referente: El mismo atribuye a su titular un conjunto de poderes o facultades que se traducen en auténticos deberes para aquellos que utilizan los datos, y que son , esencialmente: el derecho a que se requiera el consentimiento para la recogida y uso de datos personales; el derecho a saber y ser informado sobre el destino y uso de los mismos; y el derecho acceder, rectificar y cancelar dichos datos. Pues solo así se puede garantizar el poder de disposición sobre los datos personales”. Son, pues, elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 286 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

de sus datos personales y a saber de los mismos. Por otra parte, corresponde siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste, así, en este sentido la Audiencia Nacional, en sentencia de fecha 31 de mayo de 2006 señalaba: “Por otra parte es el responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley”. En el presente caso se ha acreditado que el Ayuntamiento de Zaragoza cedió los datos personales de los trabajadores incluyendo el domicilio particular, a un tercero, el sindicato Candidatura Independiente de Policía Local (CIPOL). Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso contar con el consentimiento del afectado o, en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento. Sin embargo, en este caso, el Ayuntamiento de Zaragoza cedió los datos de los trabajadores sin haber obtenido su consentimiento previo, por lo que debe entenderse vulnerado el artículo 11 de la LOPD. IV Alega el Ayuntamiento de Zaragoza que la cesión de datos de empleados municipales solicitados por Organizaciones Sindicales representativas, encuentra su habilitación legal en una serie de leyes en las que se enumeran las funciones atribuidas a las Juntas de Personal (en concreto, la ley 9/1987 reguladora de los Órganos de Representación y Condiciones de Trabajo y Participación y la ley 7/2007 del Estatuto Básico del Empleado Público). Se plantea en el presente caso una concurrencia entre los derechos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 287 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

fundamentales de protección de datos personales y de libertad sindical. El derecho a la protección de los datos personales está previsto en el artículo 18.4 de la CE, bajo la referencia al uso de la informática, en la STC 292/2000, de 30 de noviembre, y en el desarrollo legal en la Ley Orgánica 15/1999 ya citada. Uno de los principios esenciales para la salvaguarda de este derecho es que ha de mediar el “consentimiento inequívoco del afectado” según el artículo 6.1 de la misma Ley. El derecho a la libertad sindical está previsto en el artículo 28.1 de la CE y su desarrollo legal está en la Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical, que establece en su artículo 2.1 que “la libertad sindical comprende: (…) d) El derecho a la actividad sindical”. Y su artículo 8.1 dice que “los trabajadores afiliados a un sindicato podrán, en el ámbito de la empresa o centro de trabajo: (…) c) recibir la información que le remita su sindicato”, que se extiende en el Estatuto de los Trabajadores a cuantos presten servicio en el centro de trabajo. La sentencia de la Audiencia Nacional de 19 de diciembre de 2007, recurso nº 346/2006 manifiesta, respecto de esta cuestión en su Fundamento de Derecho QUINTO, “Por su parte el derecho a la libertad sindical se encuentra igualmente limitado por el ejercicio legítimo de los demás derechos fundamentales y la protección de bienes de relevancia constitucional. En este sentido, debemos tener en cuenta que el art. 28.1 CE, a pesar de que su tenor literal pudiera inducir a considerar la restricción del contenido de la libertad sindical a una vertiente exclusivamente organizativa o asociativa, sin embargo en este precepto se integra también la vertiente funcional del derecho, es decir, el derecho de los sindicatos a ejercer aquellas actividades dirigidas a la defensa, protección y promoción de los intereses de los trabajadores, en suma, a desplegar los medios de

acción

necesarios

para

que

puedan

cumplir

las

funciones

que

constitucionalmente les corresponden (por todas, SSTC 105/1992, de 1 de julio, FFJJ 2 y 5 9; 145/1999, de 22 de julio, FJ 3; 308/2000, de 18 de diciembre, FJ 6, y 213/2002, de 11 de noviembre, FJ 4). De manera que los sindicatos disponen de un ámbito esencial de libertad para organizarse y actuar de la forma que consideren más adecuada a la efectividad de su acción, dentro, claro está, del respeto a la Constitución y a la Ley. En el art. 28.1 CE se integra, pues, el derecho a llevar a cabo una libre acción sindical, comprensiva de todos los medios lícitos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 288 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

y sin indebidas injerencias de terceros (por todas, SSTC 94/1995, de 16 de junio, FJ 2; 107/2000, de 5 de mayo, FJ 6; y 121/2001, de 4 de junio, FJ 2), y, en coherencia con dicho contenido constitucional, la Ley Orgánica 11/1985, de 2 agosto, de Libertad Sindical citada, regulando su ejercicio dentro de la empresa en sus art. 8 a 1, otorgando amplias funciones a los delegados sindicales”. Continúa la Sentencia en el FD SEXTO diciendo: “Del mismo modo, conviene señalar que otro de los elementos que confluye en la ponderación de los intereses es el ámbito de la difusión de la información contenida en la nota informativa. La difusión se ha limitado estrictamente al ámbito de la empresa o centro de trabajo que es precisamente la esfera que faculta el artículo 8 de la Ley de Libertad Sindical para tener derecho a la información sobre cuestiones que afecten a los trabajadores derivadas de la actividad sindical. Téngase en cuenta que la nota en cuestión se publica en la página lntranet Corporativa, cuya difusión se limita a los trabajadores de dicha entidad financiera,”. En el presente caso se considera que la difusión de la información supera el ámbito del centro de trabajo que es la esfera facultada por el artículo 8 de la Ley de Libertad Sindical, al remitir las comunicaciones a los trabajadores a su domicilio particular, lo que no se considera necesario para un ejercicio completo de la acción sindical por parte del sindicato imputado. A este respecto cabe señalar que el artículo 8.2 de la Ley Orgánica de Libertad Sindical 11/1985 dispone: “2. Sin perjuicio de lo que se establezca mediante convenio colectivo, las Secciones Sindicales de los sindicatos más representativos y de los que tengan representación en los comités de empresa y en los órganos de representación que se establezcan en las Administraciones públicas o cuenten con delegados de personal, tendrán los siguientes derechos: a) Con la finalidad de facilitar la difusión de aquellos avisos que puedan interesar a los afiliados al sindicato y a los trabajadores en general, la empresa pondrá a su disposición un tablón de anuncios que deberá situarse en el centro de trabajo y en lugar donde se garantice un adecuado acceso al mismo de los trabajadores”. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 289 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

Este y no otro es el procedimiento previsto por la Ley Orgánica de Libertad Sindical para garantizar la transmisión de noticias de interés sindical, de manera que se permita el ejercicio completo de la acción sindical, permitiendo el flujo de información entre el Sindicato y sus afiliados, entre los delegados sindicales y los trabajadores. De manera que en este caso concreto no se aprecia que concurran los derechos fundamentales de protección de datos personales y de libertad sindical, antes bien, se ha superado el ámbito previsto en la LOLS al remitir dicha información sindical al domicilio particular de los trabajadores del centro de trabajo, aún cuando se remitió por un sindicato con presencia en los órganos de representación del mismo, vulnerando así el principio del consentimiento para la cesión de datos personales (domicilio particular de los trabajadores) por parte del Ayuntamiento de Zaragoza. V El artículo 44.4.b) de la LOPD especifica que constituye infracción de carácter muy grave: “La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.” Como ya se ha señalado, la actuación del Ayuntamiento de Zaragoza es constitutiva de infracción del artículo 11.1 de la LOPD, por comunicar los datos personales de los trabajadores sin su consentimiento, que encuentra su tipificación en el. Artículo 44.4.b). En el presente caso, ha quedado acreditada la cesión de datos personales por parte de el Ayuntamiento de Zaragoza al sindicato Candidatura Independiente de Policía Local (CIPOL), en concreto el dato relativo a su domicilio, de varios empleados municipales sin su consentimiento, datos que dicho sindicato utilizó para remitir cartas de promoción de otro sindicato, y se ha conculcado, por ello, el principio del consentimiento para la cesión de datos personales a terceros regulado en el artículo 11.1 de la LOPD que encuentra su tipificación en el artículo 44.4.b) de dicha norma. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 290 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

VI imputada, cabe exponer que el artículo Administraciones Públicas”, dispone que: Por último y en relación a la alegación cuarta efectuada por la entidad 46 de la LOPD, “Infracciones de las “1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. 2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas. 3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. 4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores”. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que Ayuntamiento De Zaragoza ha infringido lo dispuesto en el artículo 11.1 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley Orgánica. SEGUNDO: REQUERIR al Ayuntamiento de Zaragoza, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 11.1 de la LOPD. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 291 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. TERCERO: NOTIFICAR la presente resolución al Ayuntamiento de Zaragoza, a D. B.B.B. y a D. F.F.F.. CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 292 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia Española de Protección de Datos.

Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 3 de marzo de 2009

EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 293 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

PUBLICACIÓN DE DATOS DE UN TRABAJADOR DESPEDIDO ANTECEDENTES DE HECHO PRIMERO.- Con fecha 24 de enero de 2008 tiene entrada en el registro de la Agencia de Protección de Datos de la Comunidad de Madrid denuncia interpuesta por XXXX. En la denuncia se pone en conocimiento de esta Agencia de Protección de datos que con motivo del despido de su puesto de trabajo en el Ayuntamiento de Anchuelo, este ha hecho público a través de un escrito emitido el pasado 4 de marzo, la cantidad que debía abonar a la denunciante por indemnización por despido y que fue acordada en Acta de Conciliación previo a la celebración del Juicio. Según manifiesta la denunciante, el citado escrito ha sido publicado en los Tablones de de Anuncios habilitados por el Ayuntamiento en diferentes vías públicas, así como en bares y tiendas del municipio. Al escrito de denuncia se aporta fotografías de un tablón de anuncios del Ayuntamiento en el que aparece publicado el referido escrito constando como documentación en el expediente, el texto íntegro del mismo. SEGUNDO.- Con fecha 4 de abril de 2008 se notificó la denuncia al responsable mediante escrito dirigido al Ayuntamiento de Anchuelo, solicitando información sobre los siguientes extremos: 1.- Según la documentación que se incorpora al escrito de denuncia, el Ayuntamiento de Anchuelo ha hecho público a través de los tablones de anuncios Municipal y diferentes locales de la población, información sobre la conciliación en un procedimiento de despido de la denunciante. Se ruega nos fundamenten jurídicamente la adopción de tal medida. 2.- De qué fichero han sido extraídos los datos cuya comunicación se denuncia (nombre del fichero, finalidad, usos y, en su caso, comunicaciones previstas para el mismo), así como si se encuentra debidamente inscrito en el Registro de ficheros de esta Agencia de Protección de Datos de la Comunidad de Madrid). expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 294 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

Igualmente, deberá informar si en relación con dicho fichero se han adoptado las medidas de seguridad establecidas por la normativa aplicable sobre protección de datos. 3.- Las razones que motivaron la difusión de la información que se denuncia y quién fue el órgano responsable de ordenar la referida publicación. 4.- Cualquier otra información que consideren de interés en relación con los hechos que se denuncian. TERCERO.- En contestación, el 25 de abril de 2008 tiene entrada en Agencia de Protección de Datos de la Comunidad de Madrid un informe del Ayuntamiento de Anchuelo, en respuesta al requerimiento referido en el párrafo anterior, indicando, en síntesis, lo siguiente: •

Que el Ayuntamiento de Anchuelo ha realizado la publicación que se denuncia tomando como base legal lo dispuesto en los artículo 25.1 y 69.1 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.



Que el Ayuntamiento considera un deber poner en conocimiento estos hechos por la cuantiosa indemnización que suponía para las arcas del Municipio.



Que la nota contiene únicamente información de nombre apellidos, puesto que desempeñaba y cantidad que solicita en la demanda por despido que interpone contra el Ayuntamiento. Considera que estos datos no

contienen

información

personal

o

reservada

y

se

trata

de

documentación a la que los ciudadanos pueden acceder por aplicación del artículo 70.3 de la Ley 7/1985. •

Que se trata de información de interés público por la trascendencia económica de la misma, entendiendo que no se ha vulnerado el artículo 18 de la Constitución.



En lo referido a la inscripción de ficheros del Ayuntamiento, el Pleno

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 295 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

Municipal aprobó una Ordenanza de 4 de diciembre de 2007 que en estos momentos se encuentra pendiente de publicación oficial. CUARTO: Con fecha 1 de septiembre de 2008, por el Director de la Agencia de Protección de Datos de la Comunidad de Madrid se dicta Acuerdo de Inicio de Procedimiento de Infracción de Administración Pública al Ayuntamiento de Anchuelo por la presunta vulneración del artículo 10 de la LOPD, y concordante de la Ley 8/2001, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, tipificada, como leve, en el artículo 44.2.e) de dicha Ley Orgánica. QUINTO: Notificado el Acuerdo de Inicio al Responsable, con fecha 18/11/2008 tiene entrada en el registro de esta Agencia escrito del Municipio de Anchuelo, reiterando lo expresado en el informe que se cita en el HECHO TERCERO de la presente Propuesta. Por otro lado y respecto a la Ordenanza Municipal de creación de ficheros a la que se hacía referencia anteriormente, nos indican que la misma ha sido publicada en el BOCM de 23 de abril de 2008. SEXTO.- La instructora del presente expediente no acuerda apertura del período de prueba por considerar que los hechos han quedado suficientemente aclarados en las actuaciones previas que han precedido a la presente Propuesta de Resolución. SEPTIMO.- Con fecha 05/12/2008 la Instructora del presente procedimiento eleva propuesta de resolución al Director de la Agencia en el sentido de DECLARAR que el Ayuntamiento de Anchuelo, ha incurrido una infracción tipificada como de leve por el artículo 44.2.e) de la LOPD "Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave" En la citada propuesta, y de conformidad con lo previsto en el artículo 14.3 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de las funciones de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal, se concedía un plazo de QUINCE DIAS hábiles, a contar a expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 296 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

partir del día siguiente a la notificación de la propuesta de resolución, a fin de que el Ayuntamiento de Anchuelo pudiera alegar o presentara documento o informaciones que estimara oportuna, poniendo de manifiesto a estos efectos, la totalidad del expediente tramitado. OCTAVO.- Notificada la propuesta de resolución con fecha 11/12/2008, queda acreditado a través del documento de acuse de recibo recibido por el Servicio de Correos, que el Ayuntamiento de Anchuelo recibe la mencionada propuesta de resolución con fecha 12/12/2008. Con fecha 22/08/2008 tiene entrada escrito alegaciones de YYYYY, Concejala del Ayuntamiento de Anchuelo solicitando la remisión de la totalidad del expediente tramitado. Dado que el escrito de alegaciones ha tenido entrada en esta Agencia de Protección de Datos de la Comunidad de Madrid y habiendo transcurrido en exceso el plazo legalmente establecido, las mismas han de considerarse como extemporáneas. En todo caso, obra en poder de ese Ayuntamiento la totalidad del expediente tramitado por haber sido remitidos en las actuaciones previas que han precedido a la presente

Resolución, sin que conste en el expediente ninguna otra

documentación a la ya recibida por el Ayuntamiento. HECHOS PROBADOS PRIMERO.- El Ayuntamiento de Anchuelo ha hecho público a través del tablón de anuncios del Ayuntamiento, una nota informativa sobre la conciliación en un procedimiento de despido de XXXXXX. SEGUNDO.- Consta como documentación en el expediente, el texto íntegro del citado escrito y puede comprobarse que en el mismo figuran los datos personales de la denunciante referidos a su nombre y apellidos, así como la cantidad percibida por la interesada como indemnización acordada por las partes en el acto de conciliación. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 297 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

TERCERO.-

El Pleno Municipal del Ayuntamiento de Anchuelo, en sesión

extraordinaria celebrada el día 4 de diciembre de 2007, ha aprobado la Ordenanza Municipal de creación de los ficheros de datos de Carácter Personal, habiendo sido publicada en el BOCM con fecha 23 de abril de 2008. FUNDAMENTOS DE DERECHO I Es competente para resolver el presente procedimiento, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid, conforme lo dispuesto en el artículo 12.2 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, en relación con el artículo 41.1 y 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y su tramitación se ajustará a lo previsto en el Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de las funciones de la Agencia de Protección de Datos de tutela de derechos y control de ficheros de datos de carácter personal. II En el Acuerdo de Inicio del presente procedimiento sancionador se imputa al Ayuntamiento de Anchuelo la presunta comisión de una infracción por incumplimiento del deber de secreto, en relación con los hechos que se relatan con anterioridad. La LOPD, en el Título II, bajo el epígrafe de los Principios de la protección de datos, regula en su artículo 10 el principio del deber de secreto al supuesto de hecho que se analiza. El artículo 10 de la Ley LOPD establece: "El responsable del fichero y quienes intervengan en cualquier frise del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismo y al deber de guardarlos, obligaciones que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 298 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo". El Ayuntamiento de Anchuelo alega reiteradamente como causa que justifica la publicación de nota informativa sobre la conciliación en un procedimiento de despido de XXXXX, la trascendencia económica que tiene para el Municipio "hacer frente a una cuantiosa indemnización". Consideran fundamentada jurídicamente la publicación objeto controversia en el artículo 25.1 y 69.1 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local que establecen, "El Municipio, para la gestión de sus intereses y en el ámbito de sus competencias, puede promover toda clase de actividades y prestar cuantos servicios públicos contribuyan a satisfacer las necesidades y aspiraciones de la comunidad vecinal." (Artículo 25.1) "Las Corporaciones locales facilitarán la más amplia información sobre su actividad y la participación de todos los ciudadanos en la vida local". (Artículo 69.1) Por otro lado, también se alega la aplicación del artículo 70.3 de la misma Ley que señala lo siguiente, "Todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de las corporaciones locales y sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105, párrafo b, de la Constitución. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada." La normativa citada establece obligaciones de información pública a las Corporaciones Locales. Sin embargo tales obligaciones informativas han de cohonestarse con otras previsiones legales que limitan el acceso a la información expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 299 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

contenidas en la propia Ley 7/1985 y, en todo caso, en la LOPD. Así cabe citar, a título de ejemplo, el artículo 70.3 de la Ley 7/1985, y los artículos 35 y 37 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas a la que se remite, en los que se establecen limitaciones para el acceso a archivos y registros públicos, aquellos que ostenten la condición de interesados y limitado a aquellos datos que no afecten a la intimidad de las personas. En este sentido, el artículo 31.a) de la Ley 30/1992 considera interesados en el procedimiento administrativo a "quienes lo promuevan como titulares de derechos o intereses legítimos individuales y colectivos", el artículo 35.a) de la misma Ley contempla el derecho de acceso de los ciudadanos a los expedientes donde tienen la condición de interesados, al establecer que los ciudadanos, en sus relaciones con las Administraciones Públicas, tienen los siguientes derechos: a) A conocer, en cualquier momento, el estado de la tramitación de los procedimientos en los que tengan la condición de interesados, y obtener copias de documentos contenidos en ellos, y el artículo 37.1 y 3 del mismo texto legal regula el acceso de los ciudadanos a los archivos y registros, disponiendo lo siguiente: "1. Los ciudadanos tienen derecho a acceder a los registros y a los documentos que, formando parte de un expediente, obren en los archivos administrativos, cualquiera que sea la forma de expresión, gráfica, sonora o en imagen o el tipo de soporte material en que figuren, siempre que tales expedientes correspondan a procedimientos terminados en la fecha de la solicitud." "2. El acceso a los documentos que contengan datos referentes a la intimidad de las personas estará reservado a éstas, que, en el supuesto de observar que tales datos figuran En el presente caso los datos personales de una ciudadana se han hecho públicos, sin ningún tipo de restricción, a personas distintas de aquellas que pudieran considerarse, en su caso, como interesadas en el procedimiento. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 300 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el "deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo". Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su sentencia n. 361, de 19/07/01: "El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)". Estas previsiones de la LOPD no pueden quedar enervadas por la nueva obligación legal, de carácter genérico alegada por el Ayuntamiento pues tal criterio no seria conforme con lo señalado en la STC 292/2000, de 30 de noviembre, considerando que la Entidad ha vulnerado, a través de la publicación citada, el artículo 10 de la Ley Orgánica 15/1999, referente al deber de secreto. III El artículo 3.a) de la LOPD define el concepto de dato de carácter personal expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 301 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

como "Cualquier información concerniente a personas físicas identificadas o identificables". Por su parte, el artículo 5.1.f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD define este concepto de la siguiente manera: "f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables." De la información facilitada por el Ayuntamiento se pone de manifiesto que los datos personales de la denunciante han sido publicados a través de una nota informativa cuyo contenido consta en el expediente. Debe

señalarse,

que

nos

encontramos

en

presencia

de

un

"derecho

fundamental", en el que las obligaciones informativas han de cohonestarse con otras previsiones legales que limitan el acceso a la información contenidas en la LOPD. Tal y como tiene declarado el Tribunal Constitucional en la ya citada Sentencia 292/2000, el artículo 18.4 de la Constitución Española este precepto contiene un "instituto de garantía de los derechos de los ciudadanos que, además, es en si mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos" (citada Sentencia 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, de modo que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. En este caso, ha quedado acreditado que el Ayuntamiento de Anchuelo ha hecho público a través de los tablones de anuncios del Ayuntamiento los datos personales de la denunciante sobre la conciliación en un procedimiento de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 302 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

despido referidos a su nombre y apellido e información relativa a la cantidad a indemnizar en el acto de conciliación. Esta información no puede ser facilitada a terceros, salvo consentimiento del titular de los datos o que exista una habilitación legal que permita su comunicación. No consta que el Ayuntamiento de Anchuelo hubiese obtenido el consentimiento de la denunciante para ello, no existe norma legal que justifique dicha revelación de datos, ni dicha revelación resulta adecuada a lo previsiones de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local y de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas alegadas. Por tanto, queda acreditado que dicha entidad, responsable de la custodia de los datos en cuestión, ha vulnerado el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que un tercero tuviese acceso a datos personales de aquélla sin su consentimiento. Vistos los preceptos citados y demás de general de aplicación, El Director de la Agencia de Protección de Datos de la Comunidad de Madrid, RESUELVE: PRIMERO.-

DECLARAR que el Ayuntamiento de Anchuelo ha infringido lo

dispuesto en el artículo 10 de la LOPD, lo que supone una infracción como de leve por el artículo 44.2.e) de la LOPD "Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave" SEGUNDO.- Se INSTA al Ayuntamiento de Anchuelo a adoptar las medidas oportunas tendentes a subsanar las deficiencias detectadas y evitar en el futuro similares incumplimientos TERCERO.- NOTIFICAR la presente resolución al Ayuntamiento de Anchuelo y a la denunciante. CUARTO.- COMUNICAR la presente Resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la Ley Orgánica 15/1999, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 303 de 609

PROCEDIMIENTOS SANCIONADORES – EMPLEADOS PÚBLICOS Agencia de Protección de Datos de la Comunidad de Madrid.

de 13 de diciembre, de Protección de Datos de Carácter Personal. QUINTO.- ADVERTIR al Ayuntamiento de Anchuelo que contra esta resolución, que pone fin a la vía administrativa ( artículo 14.3 de la Ley 8/2001, de 13 de julio, de Protección de Datos en la Comunidad de Madrid), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, según la redacción dada por la Ley 4/1999, de 13 de enero, que la modifica, podrán interponer potestativamente recurso de reposición ante la Directora de la Agencia de Protección de Datos de la Comunidad de Madrid en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante los Juzgados de lo Contencioso Administrativo.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 304 de 609

IV) CIUDADANOS

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 305 de 609

A) INFORMES JURÍDICOS ACCEDER A DOCUMENTOS DE AYUNTAMIENTO POR CIUDADANOS. .................................. 307 CESIÓN DE DATOS DE ASEGURADOS A AYUNTAMIENTOS. INFORME 224/2006 ................. 310 ACCESO DE LOS CIUDADANOS A LAS ACTAS DEL PLENO, COMISIÓN DE GOBIERNO Y JUNTA DE GOBIERNO LOCAL MUNICIPALES............................................................................ 312 EXPOSICIÓN DE LISTADOS DE PERSONAS QUE PARTICIPAN EN SORTEOS Y LISTADOS DE ADJUDICACIONES DE VIVIENDAS VPO Y VTM EN OFICINA DE SERVICIO A LA CIUDADANÍA Y PÁGINA WEB .............................................................................................................................. 318

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 306 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Española de Protección de Datos

ACCEDER A DOCUMENTOS DE AYUNTAMIENTO POR CIUDADANOS. La consulta plantea si la petición efectuada por un particular descrita en la consulta vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. Como cuestión previa, debe recordarse que el artículo 2.1, párrafo primero de la Ley Orgánica 15/1999 dispone que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, conforme al artículo 3 a) “Cualquier información concerniente a personas físicas identificadas o identificables”. De dichos preceptos se deduce claramente que la protección conferida por la Ley Orgánica 15/1999 no es aplicable a las personas jurídicas, que no gozarán de ninguna de las garantías establecidas en la Ley, sin perjuicio de que los Tribunales puedan atender las reclamaciones de responsabilidad que pudieran exigirse en el caso de que el uso de información relativa a las empresas les cause algún perjuicio. En consecuencia, las previsiones de la Ley Orgánica 15/1999 no serían de aplicación a los datos referidos a personas jurídicas. En consecuencia, sólo podemos analizar si pueden ser comunicados los datos relativos a una persona física. Según se desprende de la documentación adjuntada, tan sólo se solicita información respecto de una ciudadana, más concretamente “los decretos y notificaciones con justificantes de entrega de los expedientes de disciplina urbanística iniciados a dicha ciudadana”. Con carácter general, y en la medida en que la entrega de la documentación señalada constituye, conforme a lo dispuesto en el artículo 3 i) de la Ley Orgánica 15/1999, una cesión de datos de carácter personal, definida como “Toda revelación de datos efectuada a persona distinta del interesado”. Por su parte, el artículo 11.1 de la misma Ley establece que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 307 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Española de Protección de Datos

tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, quedando exceptuado el consentimiento en aquellos casos en que así lo prevea una Ley. En este sentido, el artículo 31 de la Ley 30/1992 de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas, delimita jurídicamente el concepto de interesado en el procedimiento administrativo, indicando a tal efecto que se considerarán como tales en el procedimiento “a) Quienes lo promuevan como titulares de derechos o intereses legítimos individuales o colectivos; b) Los que, sin haber iniciado el procedimiento, tengan derechos que puedan resultar afectados por la decisión que en el mismo se adopte; y c) Aquellos cuyos intereses legítimos, individuales o colectivos, puedan resultar afectados por la resolución y se personen en el procedimiento en tanto no haya recaído resolución definitiva”. A su vez, el artículo 35.a) de la misma Ley recoge el derecho de los ciudadanos a “A conocer, en cualquier momento, el estado de la tramitación de los procedimientos en los que tengan la condición de interesados, y obtener copias de documentos contenidos en ellos”. Siguiendo con el contenido de la Ley, el apartado tercero y cuarto del artículo 37 relativo al derecho de acceso a archivos y registros, señala lo siguiente: “3. El acceso a los documentos de carácter nominativo que sin incluir otros datos pertenecientes a la intimidad de las personas figuren en los procedimientos de aplicación del Derecho, salvo los de carácter sancionador o disciplinario, y que, en consideración a su contenido, puedan hacerse valer para el ejercicio de los derechos de los ciudadanos, podrá ser ejercido, además de por sus titulares, por terceros que acrediten un interés legítimo y directo. 4. El ejercicio de los derechos que establecen los apartados anteriores podrá ser denegado cuando prevalezcan razones de interés público, por intereses de terceros más dignos de protección o cuando así lo disponga una ley, debiendo, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 308 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Española de Protección de Datos

en estos casos, el órgano competente dictar resolución motivada.” Es decir, por aplicación de los principios establecidos en la Ley 30/1992, el acceso a los documentos de carácter nominativo podrá ser ejercido por un tercero siempre y cuando acredite un “interés legítimo y directo” que justifique la cesión, a juicio de la Unidad responsable de resolver, habida cuenta que será una norma con rango de Ley (la propia Ley 30/1992) la que posibilite la cesión cuando concurran determinadas circunstancias, pero en ningún caso podrán comunicarse datos de carácter sancionador. En consecuencia, podemos afirmar que la Ley Orgánica 15/1999, no resulta aplicable a los datos relativos a las personas jurídicas, y respecto de los datos de carácter sancionador relativos a una persona física no podrán comunicarse a un tercero, tenga o no interés legítimo.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 309 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Española de Protección de Datos

CESIÓN DE DATOS DE ASEGURADOS A AYUNTAMIENTOS. INFORME 224/2006 La consulta plantea la conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, de la celebración de un Convenio con un Ayuntamiento en el que los mediadores de seguros, por una parte, y las compañías, por otra, pondrían a disposición de la Corporación “información en supuestos de accidentes de tráfico referente a vehículos y personas que los conducen y la vigencia de los seguros que dan cobertura a dicho vehículo”. Como cuestión previa, debe indicarse que se desconoce el contenido del convenio al que se hace referencia en la consulta ni la finalidad que justifica la firma del mismo, por lo que la respuesta que ha de darse habrá de ser necesariamente genérica, sin poder entrar a analizar las circunstancias que pretenden resolverse mediante la firma del tan citado convenio. La transmisión así planteada implica la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”. En relación con las cesiones, el artículo 11.1 de la Ley indica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, este consentimiento no será preciso en los supuestos previstos en el artículo 11.2, entre los que no se encontraría, en principio, el sometido a esta Agencia. A mayor abundamiento, debe indicarse que la cesión, sin más, a las corporaciones locales de los datos referidos a vehículos asegurados no se encuentra prevista ni en las normas reguladoras del fichero informativo de vehículos asegurados (FIVA), ni en el fichero creado en aplicación de la disposición adicional sexta de la Ley Orgánica 15/1999, según la cual “También podrán establecerse ficheros comunes cuya finalidad sea prevenir el fraude en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 310 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Española de Protección de Datos

seguro sin que sea necesario el consentimiento del afectado. No obstante, será necesaria en estos casos la comunicación al afectado, en la primera introducción de sus datos, de quién sea el responsable del fichero y de las formas de ejercicio de los derechos de acceso, rectificación y cancelación”. Del mismo modo, y en relación con la actividad mediadora, la cesión planteada tampoco tendría acomodo en lo dispuesto en Ley 9/1992, de 30 de abril, de Mediación del seguro privado ni en el Proyecto de nueva Ley actualmente en tramitación parlamentaria. En consecuencia, y teniendo en cuenta los términos generales de la cuestión planteada, el Convenio al que la misma se refiere no encontraría acomodo en lo dispuesto en la Ley Orgánica 15/1999, sin perjuicio de que, en caso de referirse dicho convenio a supuestos concretos, y sin que ello implique prejuzgar la procedencia o improcedencia de la cesión, la cuestión podría ser objeto de análisis específico por esta Agencia.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 311 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

ACCESO DE LOS CIUDADANOS A LAS ACTAS DEL PLENO, COMISIÓN DE GOBIERNO Y JUNTA DE GOBIERNO LOCAL MUNICIPALES Resumen.- El derecho a consultar los archivos y registros municipales -entre los que cabe encuadrar el acceso de los ciudadanos a las Actas del Pleno, las Comisiones de Gobierno, y la Junta de Gobierno Local- quedará limitado a aquellos datos que no afecten a la intimidad de las personas. El artículo 37 de la Ley 30/1992, RJPAC, regula el derecho de los ciudadanos a los archivos y registros públicos, especificando que el acceso a los documentos que contengan datos referentes a la intimidad de las personas estará reservado a éstas. Ha tenido entrada en esta Agencia, la consulta planteada por los servicios técnicos del Archivo Municipal de (…), en la que solicita información sobre la correcta aplicación de la normativa sobre protección de datos en lo que se refiere al acceso de los ciudadanos a las Actas del Pleno, Comisión de Gobierno y Junta de Gobierno Local Municipales, considerados como “Documentación Pública”. En concreto, según se expone en la consulta, se trata de conocer si el ciudadano, en el caso de ejercitar su derecho de consulta y solicitud de copias compulsadas de los libros de actas municipales, podría acceder a todos los acuerdos adoptados en las reuniones de los órganos municipales, de forma indiscriminada, o si, por el contrario, se debe restringir la información ofrecida a aquélla que solicite dicho ciudadano en su condición de interesado, dado que en las mencionadas actas se contienen los datos de muchas personas. En contestación a la consulta se informa lo siguiente: PRIMERO.- La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), es el marco jurídico de referencia en España, para establecer los principios y fundamentos a que debe ajustarse la recogida y tratamiento de datos personales por cualquier Institución que precise recabar este tipo de datos para el ejercicio de su actividad. Dicha Ley se complementa en el ámbito de la Comunidad de Madrid por la Ley 8/2001, de 13 de julio de Protección de Datos de Carácter Personal en la Comunidad de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 312 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

Madrid. SEGUNDO.- La Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local prevé en su artículo 20 que la organización del Municipio estará atribuida al Alcalde, los tenientes de alcalde y el pleno, y además, en los municipios con población de derecho superior a 5000 habitantes, existirá también la Comisión de Gobierno. Dicha organización ha sido desarrollada a través del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Corporaciones Locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre. La norma citada regula el funcionamiento del Pleno en los artículos 77 y siguientes, y el funcionamiento de la Comisión de Gobierno en los artículos 112 y siguientes, y por lo que se refiere a la formalización de las actas y certificaciones que se levanten tanto del pleno como de la Comisión de Gobierno su regulación esta prevista en los artículos 198 y siguientes del Reglamento. Así, a modo de resumen, el artículo 198 prevé que el Libro de Actas es un instrumento

público

solemne,

debiendo

estar

previamente

foliado

y

encuadernado, legalizada cada hoja con la rúbrica del Alcalde o Presidente y el sello de la Corporación, y expresará en su primera página, mediante diligencia de apertura firmada por el Secretario, el número de folios y la fecha en que se inicia la trascripción de los acuerdos. En el artículo 199, se establecen las reglas para la trascripción de las actas por medios mecánicos en el libro de actas. El artículo 202 prevé que las actas de las sesiones resolutivas de la Comisión de Gobierno se transcribirán y conservarán con separación de los soportes documentales destinados a recoger las del Pleno, pero con idénticas garantías que las de éste. El artículo 203 prevé que el Secretario custodiará los Libros de Actas, bajo su responsabilidad, en la Casa Consistorial y no consentirá que salgan de la misma bajo ningún preMsoNormal, ni aun a requerimiento de autoridades de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 313 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

cualquier orden. Estará obligado a expedir certificaciones o testimonios de los acuerdos que dicho Libro contenga cuando así lo reclamen de oficio las autoridades competentes. El artículo 205 establece que las certificaciones se expedirán por orden del Presidente de la Corporación y con su «visto bueno», para significar que el Secretario o funcionario que las expide y autoriza está en el ejercicio del cargo y que su firma es auténtica. Irán rubricadas al margen por el Jefe de la Unidad al que corresponda y llevarán el sello de la Corporación, reintegrándose -en su caso- con arreglo a la respectiva Ordenanza de exacción, si existiere. Finalmente el Artículo 207 establece que, todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de los órganos de gobierno y administración de las entidades locales y de sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105 b), de la Constitución Española. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada. TERCERO.- A la vista de la regulación legal y reglamentaria de las actas del Pleno y de la Comisión de Gobierno de los Ayuntamientos, se prevé que el contenido de dichas actas pueda ser comunicado de la forma a que se ha hecho mención, sin perjuicio de que las sesiones de los Plenos sean públicas, de conformidad con lo previsto en el artículo 88 del Reglamento de Organización. De esta forma, las actas del Pleno y de la Comisión de Gobierno de los Ayuntamientos tienen limitada su custodia al Secretario del Ayuntamiento, que es el que podrá expedir las certificaciones correspondientes de los acuerdos que figuren en las actas, tanto a las autoridades competentes como a los ciudadanos que lo soliciten. CUARTO.- Al hilo de la argumentación referida en el Punto Segundo de este Informe, conviene traer a colación lo dispuesto en el artículo 70 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, cuyo apartado 3 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 314 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

señala que, “Todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de las corporaciones locales y sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105, párrafo b), de la Constitución. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada.” El artículo 31 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, delimita jurídicamente el concepto de interesado en el procedimiento administrativo, indicando a tal efecto que se considerarán como tales en el procedimiento “a) Quienes lo promuevan como titulares de derechos o intereses legítimos individuales o colectivos; b) Los que, sin haber iniciado el procedimiento, tengan derechos que puedan resultar afectados por la decisión que en el mismo se adopte; y c) Aquellos cuyos intereses legítimos, individuales o colectivos, puedan resultar afectados por la resolución y se personen en el procedimiento en tanto no haya recaído resolución definitiva”. A su vez, el artículo 35.a) de la misma Ley recoge el derecho de los ciudadanos a “A conocer, en cualquier momento, el estado de la tramitación de los procedimientos en los que tengan la condición de interesados, y obtener copias de documentos contenidos en ellos”. QUINTO.- En relación con el contenido concreto de la consulta, relativa al derecho de acceso a archivos y registros, el derecho a consultar los archivos y registros municipales -entre los que cabe encuadrar el acceso de los ciudadanos a las Actas del Pleno, las Comisiones de Gobierno, y la Junta de Gobierno Localquedará limitado a aquellos datos que no afecten a la intimidad de las personas. Así, el artículo 37 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, regula el derecho de los ciudadanos a los archivos y registros públicos, especificando que “2. El acceso a los documentos que contengan datos referentes a la intimidad de las personas estará reservado a éstas, que, en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 315 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

supuesto de observar que tales datos figuran incompletos o inexactos, podrán exigir que sean rectificados o completados, salvo que figuren en expedientes caducados por el transcurso del tiempo, conforme a los plazos máximos que determinen los diferentes procedimientos, de los que no pueda derivarse efecto sustantivo alguno. 3. El acceso a los documentos de carácter nominativo que sin incluir otros datos pertenecientes a la intimidad de las personas figuren en los procedimientos de aplicación del Derecho, salvo los de carácter sancionador o disciplinario, y que, en consideración a su contenido, puedan hacerse valer para el ejercicio de los derechos de los ciudadanos, podrá ser ejercido, además de por sus titulares, por terceros que acrediten un interés legítimo y directo. 4. El ejercicio de los derechos que establecen los apartados anteriores podrá ser denegado cuando prevalezcan razones de interés público, por intereses de terceros más dignos de protección o cuando así lo disponga una ley, debiendo, en estos casos, el órgano competente dictar resolución motivada.” SEXTO.- Atendiendo a lo que acabamos de indicar, del contenido de la consulta no se desprende que por parte del Órgano consultante se proceda a la incorporación y registro de los datos de carácter personal en un soporte físico que los haga susceptibles de tratamiento, en el sentido descrito por el artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, referido al ámbito de aplicación de la propia LOPD. En consecuencia, no se aprecia que –a través de las Actas del Pleno, Comisión de Gobierno y Junta de Gobierno- se realicen tratamientos de datos, definidos por el artículo 3 c) de la Ley Orgánica 15/1999, de 13 de diciembre,

como

“Operaciones

y

procedimientos

técnicos

de

carácter

automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que

resulten

de

comunicaciones,

consultas,

interconexiones

y

transferencias”. En atención a lo anterior, el Órgano consultante deberá estar a lo dispuesto en la normativa transcrita en el Punto anterior de este Informe, relativa a la regulación sobre del Derecho de acceso a archivos y registros contenida en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, no resultando directamente aplicable las previsiones contenidas en la Ley Orgánica de Protección de Datos. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 316 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 317 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Vasca de Protección de Datos

EXPOSICIÓN DE LISTADOS DE PERSONAS QUE PARTICIPAN EN SORTEOS Y LISTADOS DE ADJUDICACIONES DE VIVIENDAS VPO Y VTM EN OFICINA DE SERVICIO A LA CIUDADANÍA Y PÁGINA WEB DICTAMEN QUE SE EMITE RESPECTO DE LA CONSULTA PLANTEADA POR EL AYUNTAMIENTO DE XXX SOBRE ADJUDICACION DE VIVIENDAS DE PROTECCION OFICIAL Y VIVIENDAS TASADAS MUNICIPALES CN07-024 ANTECEDENTES PRIMERO: Con fecha 15 de junio de 2007 se recibió en la Agencia Vasca de Protección de Datos un correo electrónico remitido por el Responsable del Departamento de Personal, Organización e Informática del Ayuntamiento de XXX, en relación con el procedimiento de adjudicación de viviendas de protección oficial y viviendas tasadas municipales. SEGUNDO: En dicho escrito de remisión de la consulta se expresan las siguientes cuestiones: 1.- Posibilidad del Ayuntamiento de exponer las listas provisionales, las definitivas y las adjudicaciones y listas de espera en la Oficina de Servicio a la Ciudadanía. 2.- Posibilidad del Ayuntamiento de exponer las listas provisionales, definitivas y las adjudicaciones y listas de espera en la página web del Ayuntamiento. 3.- Posibilidad de incluir, además del nombre y apellidos, el dato del DNI. TERCERO: El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 318 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Vasca de Protección de Datos

ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I La primera cuestión objeto de consulta estriba en la exposición de las listas provisionales, las definitivas, las adjudicaciones y listas de espera en la Oficina de Servicio a la Ciudadanía. Dicha cuestión la podemos considerar resuelta en la propia Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común cuando en su artículo 60.1 señala: “Los actos administrativos serán objeto de publicación cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente.” Por otro lado, el artículo 59.5 apartado b) del mismo texto legal señala que: “La publicación, en los términos del artículo siguiente, sustituirá a la notificación surtiendo sus mismos efectos en los siguientes casos: b) Cuando se trate de actos integrantes de un procedimiento selectivo o de concurrencia competitiva de cualquier tipo. En este caso, la convocatoria del procedimiento deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en lugares distintos.” En este sentido, el Ayuntamiento de xxx regula el procedimiento, concretamente a través de la Ordenanza municipal publicada en el Boletín expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 319 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Vasca de Protección de Datos

Oficial de nº 82 de 27 de abril de 2007 y que prevé expresamente en su articulado la exposición en la Oficina de Atención al Público. Así, al regular el procedimiento de adjudicación de las viviendas, señala en el punto 4 que “el nombre y apellidos de las personas que participen en la selección de los adjudicatarios estarán expuestos al público en la Oficina de Atención al Público”. La publicación citada goza por tanto de amparo legal. No obstante, el responsable del fichero deberá tener en cuenta la previsión legal de cancelación recogida en el artículo 4.5 de la Ley Orgánica de Protección de Datos de carácter personal que señala lo siguiente: “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.” No entramos a considerar en el presente dictamen, pero si debemos mencionarlo, que tanto en el impreso de inscripción como en otros documentos semejantes,

deberá

dejarse

constancia

del

derecho

de

información

contemplado en el artículo 5 de la LOPD, así deberá informarse de: que los datos personales recogidos serán incorporados y tratados en el fichero pertinente, indicando su finalidad las cesiones previstas que se harán al respecto órgano responsable del fichero la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, y que los resultados serán publicados en el tablón de anuncios del organismo y en su página Web, durante el tiempo pertinente para su conocimiento, así como para el ejercicio de los oportunos recursos. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 320 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Vasca de Protección de Datos

II La segunda cuestión objeto de consulta estriba en la posibilidad del Ayuntamiento

de

exponer

las

listas

provisionales,

las

definitivas

y

las

adjudicaciones y listas de espera en su página web. Dicha cuestión igualmente la podemos considerar resuelta en la propia Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común cuando en el párrafo último del artículo 59.5 señala: “Las Administraciones Públicas podrán establecer otras formas de notificación complementarias a través de los restantes medios de difusión, que no excluyeran la obligación de notificar conforme a los dos párrafos anteriores.” Se trata de una previsión que pretende el cumplimiento efectivo de la finalidad de la notificación: el conocimiento por los interesados de los actos que les afecten. En relación con este tema cabe también citar que la reciente Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos recoge en su artículo 4, principios generales, y en concreto, en el aparado c) el principio de accesibilidad a la información, cuando señala lo siguiente: “c) Principio de accesibilidad a la información y a los servicios por medios electrónicos en los términos establecidos por la normativa vigente en esta materia, a través de sistemas que permitan obtenerlos de manera segura y comprensible, garantizando especialmente la accesibilidad universal y el diseño para todos de los soportes, canales y entornos con objeto de que todas las personas

puedan

ejercer

sus

derechos

en

igualdad

de

condiciones,

incorporando las características necesarias para garantizar la accesibilidad de aquellos colectivos que lo requieran.” El artículo 12 de dicha norma supone una materialización del principio de accesibilidad a la información al establecer que: “La publicación de actos y comunicaciones que, por disposición legal o expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 321 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Vasca de Protección de Datos

reglamentaria deban publicarse en tablón de anuncios o edictos podrá ser sustituida o complementada por su publicación en la sede electrónica del organismo correspondiente.” También en este caso, el Responsable del fichero deberá tener en cuenta la previsión legal de cancelación a que nos hemos referido con anterioridad. III Con carácter general en la información ofrecida tanto en la exposición de listados como en la propia Web, deberá dejarse constancia de la naturaleza de los datos que en ella se recogen. Así deberá indicarse que los listados publicados y que contienen datos de carácter personal se ajustan a la legislación actual de protección de datos, incluyendo la finalidad del tratamiento También deberá incluirse un párrafo informativo en el que se deje constancia de que, “estos listados no constituyen fuente de acceso público y no podrán ser reproducidos ni en todo ni en parte, ni transmitidos ni registrados por ningún sistema de recuperación de información, sin el consentimiento de los propios afectados”. IV Respecto a la tercera cuestión, el consultante establece que “en los listados sólo hemos incluido el dato del nombre y dos apellidos. ¿Sería posible incluir el dato del DNI o debemos tender a indicar datos no personales tales como número de expediente, número asignado para el sorteo…?” La presente consulta está directamente relacionada con el principio de calidad de los datos, que, junto con el del consentimiento, son los pilares sobre los que se asienta la normativa en la materia. Señala el artículo 4.1 de la LOPD que: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento cuando sean adecuados, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 322 de 609

INFORMES JURÍDICOS – CIUDADANOS Agencia Vasca de Protección de Datos

pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En la orden municipal reguladora del procedimiento, se recoge la asignación de un número a cada uno de los participantes en el sorteo. La finalidad de este dato entendemos que será, entre otras posibles, la de identificar y diferenciar a aquellas personas cuyos nombres y apellidos puedan coincidir. Por ello, y de acuerdo con el principio de calidad de datos, la publicación del DNI con esta finalidad puede resultar un tratamiento excesivo de datos de carácter personal, cuando se cuenta ya con un dato que sirve al objetivo pretendido. La utilización del número asignado para el sorteo es una práctica más respetuosa con la protección de datos de carácter personal que la utilización del DNI. CONCLUSIONES Primera. La exposición al público de las listas provisionales, las definitivas, las adjudicaciones y listas de espera en el procedimiento de adjudicación de viviendas tasadas municipales y viviendas de protección oficial en xxx, no contraviene la normativa en materia de protección de datos de carácter personal. Segunda. La publicación en la página web municipal de las listas provisionales, las definitivas, las adjudicaciones y listas de espera en el procedimiento de adjudicación de viviendas tasadas municipales y viviendas de protección oficial en XXX, no contraviene la normativa en materia de protección de datos de carácter personal. Tercera. En los procedimientos citados, la publicación del número asignado para el sorteo, con el fin de identificar y distinguir a personas con coincidencia de nombre y apellidos, es una práctica más respetuosa con la protección de datos que la utilización del dato del DNI.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 323 de 609

B) PROCEDIMIENTOS SANCIONADORES AUSENCIA DE DEBER DE INFORMACIÓN EN HOJA FORMULARIO REMITIDO A CONTRIBUYENTES AYUNTAMIENTO. ART. 5 LOPD.............................................................................................................................................325 IMPROCEDENTE PUBLICACIÓN EN LA WEB DE UN AYUNTAMIENTO DE LOS DATOS PERSONALES DE VECINOS QUE HABÍAN PRESENTADO ALEGACIONES EN EL TRÁMITE DE INFORMACIÓN PÚBLICA................333 VULNERACIÓN DEL DEBER DE SECRETO MEDIANTE PUBLICACIÓN DE COPIA DE UN ESCRITO EN EL TABLÓN DE ANUNCIOS DE UN AYUNTAMIENTO ..............................................................................................................................358

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 324 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

AUSENCIA DE DEBER DE INFORMACIÓN EN HOJA FORMULARIO REMITIDO A CONTRIBUYENTES AYUNTAMIENTO. ART. 5 LOPD Procedimiento Nº: AAPP/00046/2005 RESOLUCIÓN: R/00722/2006 En el procedimiento de declaración de Infracción de las Administraciones Públicas AAPP/00046/2005 instruido por la Agencia Española de Protección de Datos al EXCMO. AYUNTAMIENTO DE HITA, vista la denuncia presentada por DON J.B.B., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 11 de agosto de 2005, tuvo entrada en esta Agencia un escrito de Don J.B.B. (en lo sucesivo el denunciante), en el que, tras señalar que es “Cargo 1” del AYUNTAMIENTO DE HITA, denuncia al consistorio por haber remitido a los contribuyentes una hoja/formulario para la recogida de datos de carácter personal “sin que se informe del contenido del artículo 5 de la Ley Orgánica 15/1999”. SEGUNDO: El denunciante aportó una copia del escrito remitido a los contribuyentes por el “Cargo 2”, en el mes de junio de 2005, al que se adjuntaba un formulario para la actualización de los padrones de contribución urbana, recabándose los siguientes datos: nombre y apellidos, NIF/NIE/Pasaporte, domicilio habitual para notificaciones, número de teléfono, datos de la finca y número de cuenta para la domiciliación bancaria de las tasas e impuestos. TERCERO: Se solicitó información al “Cargo 2” de Hita sobre los hechos denunciados, manifestando que “por error se omitió hacer referencia al artículo 5 de la Ley 15/1999 al solicitar datos a los contribuyentes, cuyo único fin era mejorar la gestión de los Padrones municipales de contribución” y que “en lo sucesivo se ha incluido el referido texto”. CUARTO: Con fecha 27 de abril de 2006, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 325 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

de las Administraciones Públicas al Ayuntamiento de Hita, con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (en lo sucesivo LOPD), por presunta infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de la mencionada Ley Orgánica. QUINTO: Notificado el citado acuerdo de inicio al Ayuntamiento de Hita, presentó alegaciones en las que expone que se trata de un Municipio muy pequeño con pocos medios económicos y personales para su gestión. Como consecuencia de ello, por error, se omitió la referencia al artículo 5 de la LOPD en la solicitud de datos a los contribuyentes para mejorar la gestión de los Padrones municipales. Ya se ha incluido en los formularios de recogida de datos la información del artículo 5 de la LOPD. SEXTO: En fecha 29 de mayo de 2006, se acordó por la Instructora del procedimiento la apertura de un período de práctica de pruebas, en el que se solicitó al Ayuntamiento de Hita que informara si ya se había incluido la cláusula informativa del artículo 5 de la LOPD. El Ayuntamiento de Hita contestó afirmativamente y aportando el nuevo formulario de recogida de datos con dicha inclusión. SÉPTIMO: Transcurrido el período de práctica de pruebas se inició, con fecha 10 de julio de 2006, el trámite de audiencia, sin que el citado Ayuntamiento de Hita haya presentado alegación alguna. OCTAVO: Con fecha 21 de septiembre de 2006, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se declare que al Ayuntamiento de Hita ha infringido lo dispuesto en el artículo 5 de la LOPD, tipificada como leve, en el artículo 44.2.d) de la citada norma, dándose traslado para alegaciones, sin que se haya recibido contestación.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 326 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

HECHOS PROBADOS PRIMERO: El Ayuntamiento de Hita envió, con fecha 27 de junio de 2005, un escrito a los contribuyentes al que se adjunta un formulario para la recogida de datos de carácter personal, sin que se incluyera la cláusula informativa del artículo 5 de la LOPD (folios 2 y 3). SEGUNDO: En los nuevos formularios para la recogida de datos de carácter personal por parte del Ayuntamiento de Hita, ya se ha incluido la cláusula informativa del artículo 5 de la LOPD (folio 28). FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia Española de Protección de Datos de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD. II Se imputa al Ayuntamiento de Hita la posible comisión de una infracción del artículo 5 de la LOPD, en cuyos apartados 1 y 2 se establece: “1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 327 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. La obligación que impone este artículo 5 es, por tanto, la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no el tratamiento, en función de aquélla. La citada Sentencia del Tribunal Constitucional 292/2000, que delimita el contenido esencial del derecho fundamental a la protección de los datos personales, ha destacado la importancia del derecho de información en la recogida de datos, como un elemento indispensable de este derecho, en los siguientes términos: “De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia”. Y añade la citada Sentencia que “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 328 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele”. De ello cabe concluir que la vigente LOPD ha acentuado las garantías precisas

para

el

tratamiento

de

los

datos

personales,

vinculando

el

consentimiento del afectado a la información previa que reciba. III De acuerdo con lo establecido en el artículo 5 transcrito, el Ayuntamiento de Hita debió de informar a los interesados, en el momento de la recogida de los datos, de los extremos establecidos en el aludido artículo 5.1. La información, a la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 329 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

que se refiere dicho precepto, debe suministrarse previamente a la recogida de sus datos personales, y tal información deberá ser expresa, precisa e inequívoca. El número 2 del mismo precepto establece una regla especial para los supuestos en que se utilicen cuestionarios u otros impresos para la recogida de la información, exigiendo que figuren en los mismos “en forma claramente legible, las advertencias a que se refiere el apartado anterior”.

Se impone, por tanto, una formalidad específica en la recogida de datos a través de cuestionarios u otros impresos que garantice el derecho a la información de los afectados, debiendo constar dicha información en los propios cuestionarios e impresos de forma claramente legible. En este caso, se ha comprobado que en los formularios que envió el Ayuntamiento de Hita a los contribuyentes, en el mes de junio de 2005, para mejorar la gestión de la Corporación, en los que se solicitaban datos personales, no se contenía ninguna cláusula informativa que informara de ninguno de los extremos previstos en el citado artículo 5.1 de la LOPD. No obstante, ha quedado acreditado que, en los actuales formularios de recogida de datos por parte del Ayuntamiento de Hita, ya se ha incluido la información requerida por el artículo 5 de la LOPD. IV El artículo 44.2.d) de la LOPD considera infracción leve “Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley”. En este caso, ha quedado acreditado que el Ayuntamiento de Hita recogió datos personales en junio de 2005, a través de un formulario en el que no se recogía la cláusula informativa que advertía sobre los extremos a que se refiere el artículo 5.1 de la LOPD, por lo que debe considerarse que ha incurrido en la infracción del citado precepto que encuentra su tipificación en el artículo 44.2.d) expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 330 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

de la citada Ley Orgánica. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el EXCMO. AYUNTAMIENTO DE HITA ha infringido lo dispuesto en el artículo 5 de la LOPD, lo que supone una infracción tipificada como leve en el artículo 44.2.d) de la citada Ley Orgánica.

SEGUNDO: NOTIFICAR la presente resolución al EXCMO. AYUNTAMIENTO DE HITA, C/ Pósito 5, 19248 Hita, Guadalajara, y a DON J.B.B. (C/…) TERCERO: COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 331 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia Española de Protección de Datos

Jurisdicción Contencioso-administrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 17 de octubre de 2006 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Piñar Mañas

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 332 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

IMPROCEDENTE PUBLICACIÓN EN LA WEB DE UN AYUNTAMIENTO DE LOS DATOS PERSONALES DE VECINOS QUE HABÍAN PRESENTADO ALEGACIONES EN EL TRÁMITE DE INFORMACIÓN PÚBLICA. ANTECEDENTES DE HECHO PRIMERO.- Con fecha 02/06/2008 se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid escrito de XXX, en su calidad de portavoz del Grupo Municipal Socialista de Pozuelo de Alarcón, denunciando que en la página web del Ayuntamiento de Pozuelo de Alarcón, en su apartado correspondiente a Plenos Municipales, se han publicado las desestimaciones efectuadas por el Pleno de la Corporación el pasado día 16 de abril de 2008, a varias alegaciones presentadas por vecinos del municipio, en las que se recogen los datos personales de los mismos, tales como su nombre, nº del DNI, domicilio, etc., lo que consideran que podría vulnerar la Ley Orgánica 15/199, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), el RD 1720/2007, de 20 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD y la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal de la Comunidad de Madrid. Esta denuncia motivó la incoación del expediente E/XXX/2008. Se adjunta copia de la publicación insertada en la página web municipal. SEGUNDO.- Con fecha 06/06/2007, se notificó al Alcalde del Ayuntamiento de Pozuelo de Alarcón el requerimiento de la Agencia de Protección de Datos de la Comunidad de Madrid relacionado con la denuncia referida de XXX, en el que se pedía informe sobre los siguientes extremos: 1. Disposiciones seguidas por el Ayuntamiento de Pozuelo de Alarcón para la elaboración de Disposiciones de Carácter General. 2. Descripción del procedimiento que está llevando a cabo el Ayuntamiento de Pozuelo de Alarcón para la elaboración de la Ordenanza reguladora de la Tasa por Estacionamiento de Vehículos de Tracción Mecánica de determinadas zonas de las vías públicas municipales. Fase en la que se encuentra la elaboración de esta Ordenanza. Motivos por los que se incluyeron en el Acta del Pleno Municipal expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 333 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

del pasado 16 de abril de 2008 la "Resolución de las alegaciones presentadas a la modificación de la Ordenanza Fiscal reguladora de la Tasa por Estacionamiento de Vehículos de Tracción Mecánica en determinadas zonas de las vías públicas municipales", así como los nombres, apellidos, DNI y dirección postal de cada uno de los reclamantes. 3. Descripción del procedimiento que está llevando a cabo el Ayuntamiento de Pozuelo de Alarcón para la aprobación de la Ordenanza reguladora de los criterios objetivos para la adjudicación de viviendas sociales. Fase en la que se encuentra la elaboración de esta Ordenanza. Motivos por los que se incluyeron en el Acta del Pleno Municipal del pasado 16 de abril de 2008 la "Resolución de las alegaciones presentadas a la aprobación inicial de la Ordenanza Reguladora de los Criterios Objetivos para la Adjudicación de Viviendas Sociales", en la que figuran los nombres, apellidos, DNI/CIF y dirección postal de cada uno de los sujetos que presentaron alegaciones en el trámite de información pública, con indicación expresa de los caso en los que estos sujetos actuaban en representación de una empresa o en nombre propio. 4. Cualquier otra información que pueda resultar de utilidad para la resolución del presente expediente TERCERO.- Por otro lado, con fecha 03/09/2008, se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid escrito de YYY, vecina de Pozuelo de Alarcón, denunciando que en la página web del Ayuntamiento de Pozuelo de Alarcón, en su apartado correspondiente a Plenos Municipales, se había publicado la desestimación efectuada por el Pleno de la Corporación el pasado día 16 de abril de 2008, a una alegación suya presentada contra la Ordenanza

Fiscal

reguladora

de

aprobación

de

las

tasas

para

el

estacionamiento de vehículos de tracción mecánica en determinadas zonas de las vías públicas municipales, con transcripción de sus datos personales referidos a nombre y apellidos, DNI y domicilio, lo que consideran que podría vulnerar la Ley Orgánica 15/199, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), el RD 1720/2007, de 20 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD y la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal de la Comunidad de Madrid. Esta expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 334 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

denuncia motivó la incoación del expediente E/YYY/2008. CUARTO.- Con fecha 10/06/2007, se notificó al Alcalde del Ayuntamiento de Pozuelo de Alarcón el requerimiento de la Agencia de Protección de Datos de la Comunidad de Madrid relacionado con la denuncia referida de YYY en el que se pedía informe sobre los siguientes extremos: 1. Justificación jurídica de publicar en el Acta del Pleno Municipal del 16 de abril de 2008 la "Resolución de las alegaciones presentadas a la modificación de la Ordenanza Fiscal reguladora de la Tasa por Estacionamiento de Vehículos de Tracción Mecánica en determinadas zonas de las vías públicas municipales" incluyendo los nombres, apellidos, DNI y dirección postal de cada uno de los reclamantes. 2. Cualquier otra información que pueda resultar de utilidad para la resolución del presente expediente. QUINTO.- Con fecha 18/06/2008 se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid informe del Alcalde Presidente de Pozuelo de Alarcón, en relación con los requerimientos de los expedientes E/XXX/2008 y E/YYY/2008, indicando, en síntesis, lo siguiente: 1.- En las Actas de los Acuerdos Plenarios se contiene, además de los Acuerdos, las deliberaciones producidas y la votación por la que resultan adoptados los mismos. En el caso que nos ocupa, el Acta del Pleno de 16/04/2008, fue remitida a los órganos competentes de la Administración General del Estado y de la Comunidad de Madrid en el plazo previsto en los artículos 56 y 65 de la LRBRL, siendo aprobada en la siguiente sesión de 21/05/2008. El documento publicado en la página web no es el acta, sino un extracto de los acuerdos en el que consta la parte dispositiva. Su publicación se basa en los artículos 3.5 (transparencia y participación ciudadana) y 45.1 (impulso de empleo y aplicación de las nuevas tecnologías) de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones

Públicas y Procedimiento

Administrativo Común. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 335 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

Lo habitual es suprimir de los extractos de la web todos los datos personales, sin embargo, en este caso, por error padecido por primera vez, en uno de los acuerdos figuraban los datos personales de los alegantes cuyas reclamaciones se resolvían, datos que, si bien sí son necesarios para adoptar los acuerdos resolutorios, no lo son para la publicación del extracto. El error ha sido subsanado, suprimiendo de la red el documento íntegro. 2.- El Ayuntamiento de Pozuelo de Alarcón ha seguido y sigue para la elaboración de las Disposiciones de Carácter General el procedimiento general determinado en el artículo 49 y con el artículo 70 bis, ambos de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local (en adelante, LRBRL), en relación con las normas generales de procedimiento administrativo común, con las normas generales autonómicas y locales y, en especial, con el Reglamento Orgánico

Municipal

(ROM)

del

Ayuntamiento

de

Pozuelo

de

Alarcón

(20/07/2005). El procedimiento se constituye de varias fases: 1) Incoación de un procedimiento y actividad preparatoria, 2) Aprobación inicial, 3) Audiencia a los interesados e información pública, 4) Aprobación definitiva y 5) publicación. Respecto de la publicación de los Plenos, el artículo 70 de la LBRL proclama la publicidad de las sesiones de los Plenos y previene que podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la CE, cuando así lo acuerde por mayoría absoluta. El epígrafe tercero se dedica a regular el derecho de todos los ciudadanos a acceder a la documentación municipal. En el ámbito de la Comunidad de Madrid, el artículo 23 de la Ley 2/2003, de 11 de marzo, de Administración Local, viene a regular la forma de efectuar la información a los vecinos y así establece: 1. Los Municipios adoptaran las medidas organizativas oportunas para facilitar a los vecinos el derecho de información sobre los asuntos de interés local.2. En todo caso los municipios establecerán a través de su Reglamento Orgánico el régimen de publicidad en lo que concierne a acuerdos, decretos y resúmenes de las sesiones del pleno, sin perjuicio de que para aquellos cuya población sea inferior a 20.000 habitantes, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 336 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

dicha publicidad se encuentre garantizada mediante el tablón de anuncios." El artículo 80 del ROM establece sobre la publicidad de las sesiones del Pleno que son públicas, si bien "(…) podrá ser a puerta cerrada el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. (…)". Este precepto debe ser completado con lo establecido en el artículo 229 del RD 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales (en adelante, ROF), que dice textualmente: "1. Las convocatorias y órdenes del día de las sesiones del Pleno se tramitarán a los medios de comunicación social de la localidad y se harán públicas en el Tablón de Anuncios de la entidad. 2. Sin perjuicio de lo dispuesto en el artículo 70.2 de la Ley 7/1985, de 2 de abril (RCL 1985, 799 y 1372) , la Corporación dará publicidad resumida del contenido de las sesiones plenarias y de todos los acuerdos del Pleno y de la Comisión de Gobierno, así como de las resoluciones del Alcalde y las que por su delegación dicten los Delegados. 3. A tal efecto, además de la exposición en el Tablón de Anuncios de la entidad, podrán utilizarse los siguientes medios: a) Edición, con una periodicidad mínima trimestral, de un Boletín informativo de la entidad. b) Publicación en los medios de comunicación social del ámbito de la entidad." 3.- En cuanto a la fase en la que se encuentra la "Ordenanza reguladora de la Tasa por Estacionamiento de Vehículos de Tracción Mecánica de determinadas zonas de las vías públicas municipales", fue publicada en el BOCM nº 100, de 28 de abril de 2008. Respecto de la fase de elaboración de la "Ordenanza reguladora de los criterios objetivos para la adjudicación de viviendas sociales", fue publicada en el BOCM nº 125, de 27 de abril de 2008. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 337 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

4.- Respecto de los motivos por los que se incluyeron los nombres, apellidos, DNI/CIF y direcciones de los reclamantes en el Acta del Pleno de 16 de abril de 2008, en los puntos en los que se resuelven las alegaciones presentadas a la aprobación inicial de las Ordenanzas precitadas, se manifiesta, en síntesis, que, de conformidad con lo previsto en el artículo 3 y 10 de la LOPD, y con las consideraciones de la Agencia Española de Protección de Datos y con numerosas sentencias de distintos tribunales, el Ayuntamiento de Pozuelo de Alarcón disocia los datos personales de posible protección previamente a la publicación del Acta en la Web municipal, para evitar cualquier posible identificación con personas. Sin embargo, en el presente caso, parece que habida cuenta de que en las aplicaciones de tratamiento de texto, muchas veces, mediante las reiteradas acciones que se ejecutan de copiar y pegar, se cometen algunos errores de manera sencilla, y sin voluntad ni animus alguno. SEXTO.- Con fecha 05/06/2008 se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid escrito de ZZZ, como Presidente y portavoz de la Asociación de Vecinos … de Pozuelo de Alarcón, denunciando que en la página web del Ayuntamiento de Pozuelo de Alarcón, en su apartado correspondiente a Plenos Municipales, se ha publicado la desestimación efectuada por el Pleno de la Corporación el pasado día 16 de abril de 2008, a las alegaciones presentadas por los vecinos contra la Ordenanza Municipal que regula la adjudicación de las viviendas municipales, en la que figuran todos los datos personales de estos vecinos (nombre y apellidos, DNI y domicilio), lo que considera que podría vulnerar la Ley Orgánica 15/199, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), el RD 1720/2007, de 20 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD y la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal de la Comunidad de Madrid. Esta denuncia motivó la incoación del expediente E/ZZZ/2008. SÉPTIMO.-

Con fecha 27/06/2008 se notificó al Alcalde del Ayuntamiento de

Pozuelo de Alarcón el requerimiento de la Agencia de Protección de Datos de la Comunidad de Madrid relacionado con la denuncia referida de ZZZ, como Presidente y portavoz de la Asociación de Vecinos … de Pozuelo de Alarcón, en el que se pedía informe sobre los siguientes extremos: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 338 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

1. Justificación jurídica para proceder a la publicación íntegra en el Acta del Pleno Municipal del 16 de abril de 2008 de la "Resolución las alegaciones presentadas a la aprobación inicial de la Ordenanza reguladora de los criterios objetivos para la adjudicación de viviendas sociales", incluyendo los nombres, apellidos, DNI y dirección postal de cada uno de los reclamantes. 2. Cualquier otra información que pueda resultar de utilidad para la resolución del presente expediente. OCTAVO.- Con fecha 10/07/2008 se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid informe del Alcalde Presidente de Pozuelo de Alarcón, en relación con el requerimiento del expediente E/ZZZ/2008, indicando, en síntesis, lo siguiente: Que siendo lo solicitado sustancialmente idéntico a lo planteado en los expedientes E/XXX/2008 y E/YYY/2008, contestado mediante escrito de 18/06/2008, se reiteran las alegaciones manifestadas en aquel escrito a los efectos de responder a la nueva denuncia, indicando que el error ha sido subsanado. NOVENO.- Con fecha 03/11/2008 se notificó al AYUNTAMIENTO DE POZUELO DE ALARCÓN el Acuerdo de Inicio de Procedimiento de Infracción de Administración Pública, dictado por el Director de la Agencia de Protección de Datos de la Comunidad de Madrid el día 22/10/2008, imputando la presunta infracción grave, regulada en el artículo 44.3, apartado d) de la LOPD, que tipifica como tal "Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituye infracción muy grave", y la presunta infracción muy grave, regulada en el en el artículo 44.4.b) de la LOPD, que tipifica como tal "La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas". Se concedía en dicha notificación un plazo de quince días hábiles para que el interesado formulara alegaciones y presentara los documentos que considerara convenientes en defensa de su derecho, así como que propusiera la prueba que estimara pertinente. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 339 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

DÉCIMO.- Con fecha 20/11/2008 se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid escrito de alegaciones del Alcalde accidental de Pozuelo de Alarcón, según el artículo 33 del Reglamento Orgánico de Gobierno y Administración del Excmo. Ayuntamiento de Pozuelo de Alarcón. En este escrito se alega, en síntesis, lo siguiente: - Que, habitualmente, en los extractos que se publican en la web se suprimen todos los datos de carácter personal antes de ser enviados. En este caso, por un error cometido por primera vez, por lo que no existe reiteración, en uno de los acuerdos figuraban los datos personales de los alegantes cuyas reclamaciones se resolvían. Este dato, que es obligatorio e imprescindible en los acuerdos, ha sido inmediatamente subsanado suprimiéndose de la web el documento íntegro. - El error de la inclusión de los datos personales en los extractos de actas se enmarca dentro de un trámite abierto a todo el vecindario (elaboración de disposiciones administrativas de carácter general en el ámbito local) con el fin de potenciar al máximo la participación de los ciudadanos en el proceso de elaboración de normas de carácter general. La filtración de los referidos datos personales podría excusarse en que estos particulares, haciendo uso de su derecho legal a alegar sobre normas que les afectan, han comparecido en un trámite público, abierto y con efectos erga omnes, es decir, con vocación a la modificación en su caso de una norma general, por lo que sus efectos sí interesan a la generalidad de todos los que presentaron alegaciones o no. - En el proceder del Ayuntamiento hay una ausencia absoluta de mala fe o voluntariedad con nulo uso de dichos datos personales para fin o interés alguno distinto de los fines propios para los que fueron creados dichos datos. Tampoco hay en el proceder del Ayuntamiento reiteración en la conducta, al ser la primera ocasión en la que se producen los hechos denunciados. - El error de la inclusión de los datos personales de los alegantes en el extracto del Acuerdo del Pleno que se publicó en la web es, según la doctrina jurisprudencial en materia tributaria -extensible, según el Ayuntamiento al presente caso-, susceptible de ser considerado un error material o de simple hecho, rectificable en cualquier momento, exento de todo matiz de culpabilidad o dolo en la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 340 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

comisión. - La imputación de la infracción grave del artículo 44.3, letra d) exige para su concurrencia una utilización dirigida a un posible interés o beneficio objetivo, real o inmediato, derivado de la inclusión de los datos de ficheros de carácter personal, lo cual no concurre en el presente caso y sería, además, difícilmente demostrable por los denunciantes, que no han alegado ningún tipo de utilización fraudulenta de dichos datos por parte de la Corporación Local. El legislador pretende con esta tipificación evitar un uso espúreo de dichos datos, en concreto con ánimo de lucro y apartado de toda finalidad de servicio público. - En relación con la imputación de una infracción muy grave por la cesión acaecida, se solicita del órgano disminución de la culpabilidad del imputado sancionando por una infracción grave en lugar de muy grave. DÉCIMOPRIMERO.- Con fecha 29/12/2008 se notificó al AYUNTAMIENTO DE POZUELO DE ALARCÓN Propuesta de Resolución del Procedimiento de Infracción de Administración Pública, imputando la comisión de la infracción muy grave, regulada en el en el artículo 44.4.b) de la LOPD, que tipifica como tal "La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas", por publicar en la web corporativa un extracto del Pleno del Ayuntamiento correspondiente al día 16 de abril de 2007 con datos personales (nombre, apellidos, DNI y domicilio) de 204 personas que habían presentado alegaciones a los proyectos de Ordenanzas Municipales en el trámite de información pública. Se concedía en dicha notificación un plazo de quince días hábiles para que el interesado pudiera alegar todo cuanto considerase en su defensa, dándole audiencia y, poniéndole de manifiesto a estos efectos, si lo estiman conveniente, la totalidad del expediente tramitado. DÉCIMOSEGUNDO.- Con fecha 23/02/2009 se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid escrito del Ayuntamiento de Pozuelo de Alarcón, alegando, en síntesis, lo siguiente:

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 341 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

1º) Que existe una errónea interpretación por parte de la Agencia sobre el régimen jurídico, la naturaleza del procedimiento de aprobación de las ordenanzas y de la participación de los ciudadanos en la elaboración de normas por parte de las entidades. La comunicación de datos se produce en uno de los supuestos permitidos en la Ley: El previsto en el Capítulo IV de la Ley 7/1985 de bases de régimen local (LBRL), en particular sus artículos 69, 70 y 70 bis, Título VII del RD 2568/1986 (ROF), artículos 105 y siguientes del Reglamento Orgánico Municipal (B.O.C.M. 17/10/2005) a fin de facilitar el ejercicio de derechos de naturaleza pública a los vecinos del municipio de Pozuelo de Alarcón, en aras del principio

constitucional

de

eficacia

y

transparencia

de

la

actividad

administrativa. La participación ciudadana en los asuntos públicos es un derecho de los ciudadanos y una obligación de los poderes públicos el hacerlo posible, de conformidad con los artículos 23.1 y 9.2 de la CE. En el Pleno de una Corporación Local están residenciadas las más importantes competencias gestoras y en su seno se deben garantizar los mecanismos de la democracia participativa que son los previstos en la LBRL. Los Ayuntamientos son cauces inmediatos de participación ciudadana (arts. 1.1, 69 y 70.3 LBRL). Una de las manifestaciones de ello se produce en la potestad municipal de dictar ordenanzas y reglamentos que regulen la vida municipal, afectando a todos sus ciudadanos, debiendo cumplirse, por ello, el principio de publicidad. El régimen jurídico de esta potestad se concreta en las disposiciones citadas (tres párrafos antes). La publicidad consiste en el hecho de que el público asista físicamente a las deliberaciones, enterándose en el acto mismo de las resoluciones, así como en la publicación de los acuerdos y en el derecho a difundir tanto los acuerdos como las deliberaciones y los resultados de sus alegaciones en los procesos normativos en los que participa (artículos 70.1, 70.3 LBRL, artículo 88 del R.O.F. La publicidad que se ha dado al contenido de una sesión plenaria en la página web municipal constituye un elemento de comunicación con los vecinos que no expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 342 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

asistieron físicamente al Pleno, de forma que tengan un conocimiento veraz de las deliberaciones y de los acuerdos adoptados sobre las alegaciones presentadas a una ordenanza en cuyo procedimiento de elaboración han participado. La falta de esta publicidad de las actas de las sesiones del Pleno sería determinante de una causa de nulidad de pleno derecho de la norma local afectada del acuerdo, siendo uno de los medios de publicidad y comunicación el de la utilización de las tecnologías de la información y comunicación (art. 70bis.3 de la LBRL). No se vulnera la LOPD con la comunicación de unos datos obtenidos del libro de actas del Pleno, porque dichos datos no se utilizaron para una finalidad incompatible con aquellas para las que los datos hubieran sido recogidos sino, precisamente, para el ejercicio de unas competencias municipales y para el cumplimiento de un presupuesto administrativo cuya ausencia constituiría una vulneración del derecho a recibir una información veraz (art. 20.1 CE), así como del principio de publicidad de las sesiones del pleno (arts. 70.1 y 70.3 LBRL, y art. 88 ROF). Se cita, jurisprudencia sobre las competencias municipales en lo social (SsTS 21/11/1986, 01/04/1994 y 14/06/1994), el derecho de publicidad (STS 18/12/1990) y el derecho a la información (STC nº 105/1983). 2ª) No concurrencia de los presupuestos legales para establecer una responsabilidad del Ayuntamiento de Pozuelo de Alarcón en el procedimiento sancionador iniciado por la Agencia. a) Falta de legitimación pasiva del Ayuntamiento de Pozuelo de Alarcón. El libro de actas del Pleno es un fichero sobre el cual su responsable no es el Ayuntamiento (art. 203 ROF), no teniendo ningún poder de disposición sobre el mismo. b) No existe un incumplimiento de la ley como criterio de imputación. El documento publicado en la web no vulnera el artículo 44.4.b) de la LOPD porque expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 343 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

dichos datos no se utilizaron para una finalidad incompatible con aquella para las que los datos hubieran sido recogidos, sino, precisamente, para el ejercicio de competencias municipales y el cumplimiento del derecho a una información veraz y del principio de la publicidad de las sesiones del pleno. A mayor abundamiento, algunos datos personales de los alegantes cuyas reclamaciones se resolvían y que no se consideraban imprescindibles en los acuerdos, han sido inmediatamente subsanados suprimiéndose de la web. c) No se ha producido una lesión del bien jurídico protegido por la norma: La intimidad o el honor. El artículo 7.2 y 7.3 de la LO 1/1982, de 5 de mayo de protección civil del Derecho al Honor, al a Intimidad Personal y Familiar y a la Propia Imagen considera que existe intromisión ilegítima en el honor o en la intimidad de las personas, respectivamente, cuando se divulguen bien hechos relativos a la vida privada de una persona o familia que afecten a su reputación y buen nombre, bien hechos concernientes a una persona que de cualquier modo lesionen la dignidad de otra persona menoscabando su fama o atentando contra su propia estimación. De la actuación objeto de este expediente no resulta acreditada la intromisión ilegítima en el honor o la intimidad de las personas, lo que conlleva una inexistencia de perjuicio o daño y, por lo tanto, de responsabilidad por parte de la Administración Pública. La concurrencia de estos tres aspectos determina la improcedencia de este procedimiento sancionador contra el Ayuntamiento. 3ª) El Ayuntamiento de Pozuelo ha demostrado una sensibilidad especial en todo lo concerniente al cumplimiento de los principios de protección de datos, estando incursa esta organización en un procedimiento de modernización administrativa que busca la eficacia en el desarrollo de su actividad y la mejora en la satisfacción de la sociedad civil. El tratamiento de datos personales se realiza en cumplimiento siempre del principio de calidad de datos y demás principios establecidos en el Título II de la LOPD siendo su recogida y tratamiento adecuados, pertinentes y no excesivos, y compatibles con la competencia administrativa que puede concretarse en: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 344 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

- Tener una estructura organizativa que se encarga de velar por estos asuntos, que incluye personal propio y empresas de asesoramiento especializado externo para velar por el cumplimiento de la Ley. - Mantener una interlocución fluida con la APD utilizando todos los recursos que la propia APD pone a nuestra disposición, particularmente aquellas cuestiones de especial sensibilidad (videovigilancia) - Realizar controles internos para minimizar la probabilidad de hacer pública información sensible, en muchos casos con dobles controles: Visto bueno de organismo técnico así como control posterior en el momento previo de la publicación. El tratamiento de datos personales que realiza esta Corporación es para desarrollar la vertiente objetiva de los derechos fundamentales y garantizar la efectividad de los derechos

reconocidos en la constitución como el de

participación política (art. 23 CE), libertad sindical (art. 28 CE), Educación Universal y gratuita (art. 27 CE), asistencia sanitaria (artículo 43 CE), servicios sociales (art. 50 CE), lo cual conlleva a que las autoridades de control tienen y deben de interpretar la protección de datos de una forma sistemática y no autónoma de forma que el derecho a la autodeterminación informativa de los particulares debe ser moralizado con la vertiente objetiva de otros derechos fundamentales que las Administraciones Locales deben garantizar por imperativo de la Constitución y de la Legislación reguladora de las bases de Régimen Local. HECHOS PROBADOS El Ayuntamiento de Pozuelo de Alarcón publicó en la web del Ayuntamiento un extracto del Acta correspondiente al Pleno celebrado el 16 de abril de 2007 en el que se incluían datos personales (nombre, apellidos, DNI y domicilio) de aquellos que

habían

presentado

alegaciones

en

las

fases

correspondientes

de

elaboración de dos Ordenanzas Municipales. En concreto, de 23 personas en la "Resolución de las alegaciones presentadas a la modificación de la Ordenanza Fiscal reguladora de la tasa por estacionamiento de vehículos de tracción mecánica en determinadas zonas de las vías públicas municipales" y de 181 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 345 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

personas en la "Resolución a las alegaciones presentadas a la aprobación inicial de la Ordenanza reguladora de los criterios objetivos para la adjudicación de viviendas sociales". FUNDAMENTOS DE DERECHO I Es competente para resolver el Director de la Agencia de Protección de Datos de la Comunidad de Madrid, conforme a lo dispuesto en el artículo 12.2 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid y en el artículo 16.1 del Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo de las funciones de la Agencia de Protección de Datos de la Comunidad de Madrid de tutela de derechos y de control de ficheros de datos de carácter personal, en relación con los artículos 41.1 y 37. g) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. II Según se ha indicado en los ANTECEDENTES DE HECHO, se han presentado ante la Agencia de Protección de Datos de la Comunidad de Madrid, en tres días diferentes, otras tantas denuncias de XXX (E/XXX/2008), portavoz del Grupo Socialista del Ayuntamiento de Pozuelo de Alarcón, de YYY (E YYY/2008), vecina de Pozuelo de Alarcón y ZZZ (E/ZZZ/2008), como Presidente y portavoz de la Asociación de Vecinos … de Pozuelo de Alarcón. Las tres denuncias se refieren a hechos sustancialmente iguales, como es la publicación en la web del Ayuntamiento de Pozuelo de Alarcón de un extracto del Acta del Pleno Municipal correspondiente al 16/04/2008 en la que figuran, entre otros asuntos, los datos personales de nombre, apellidos, DNI y domicilio de aquellos que han reclamado o alegado en las fases correspondientes de adopción de diversas Ordenanzas Municipales. En concreto, de 23 personas en la "Resolución de las alegaciones presentadas a la modificación de la Ordenanza Fiscal reguladora de la tasa por estacionamiento de vehículos de tracción expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 346 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

mecánica en determinadas zonas de las vías públicas municipales" y de 181 personas en la "Resolución a las alegaciones presentadas a la aprobación inicial de la Ordenanza reguladora de los criterios objetivos para la adjudicación de viviendas sociales". Por ello, teniendo en cuenta la identidad sustancial de las tres denuncias referidas, y de conformidad con lo previsto en el artículo 73 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común, se procede a ACUMULAR en un único procedimiento

de

infracción

de

Administración

Pública

los

expedientes

E/XXX/2008, E/YYY/2008 y E/ZZZ/2008. III En la Propuesta de Resolución del presente procedimiento se pide que el Director de la Agencia de Protección de Datos de la Comunidad de Madrid declare "que el AYUNTAMIENTO DE POZUELO DE ALARCÓN ha incurrido en la comisión de una infracción muy grave, regulada en el en el artículo 44.4.b) de la LOPD, que tipifica como tal "La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas", por publicar en la web corporativa un extracto del Pleno del Ayuntamiento correspondiente al día 16 de abril de 2007 con datos personales (nombre, apellidos, DNI y domicilio) de 204 personas que habían presentado alegaciones a los proyectos de Ordenanzas Municipales en el trámite de información pública. IV A

la

vista

de

las

alegaciones

presentadas

se

hacen

las

siguientes

consideraciones: 1º) Esta Agencia no estima que haya habido un error en la interpretación del régimen jurídico aplicable al caso que nos ocupa. En este sentido, se debe tener en cuenta lo siguiente: La Ley Orgánica 15/1999, de 13 de diciembre, define en su artículo 3 i) la cesión o expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 347 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

comunicación de datos señalando que será toda revelación de datos realizada a una persona distinta del interesado. A la vista de esta definición, la primera consecuencia que se extrae es que la publicación en una página Web del Ayuntamiento de una determinada información relativa a personas identificadas o identificables, con independencia de su regulación especifica, en la medida en que contengan datos de carácter personal, como serían el nombre y apellidos, teléfono, domicilio etc. constituye una cesión de datos, dado que se están difundiendo dichos datos indiscriminadamente a través de la Web. Si bien las actas de los Plenos se podrán publicar en Internet sin consentimiento de las personas cuyos datos aparecen en las mismas si así lo determina expresamente el Reglamento Orgánico del Ayuntamiento y la información con datos de carácter personal que contengan no afecta al honor, a la intimidad personal o familiar y a la propia imagen de los afectados, sensu contrario, no ocurre lo mismo con la información que afecta al honor, a la intimidad personal o familiar y a la propia imagen de las personas afectadas. En este sentido, el propio artículo 70 de la Ley 7/1985, de 2 de abril, LBRL, modificada por la Ley 57/2003, de 16 de diciembre, de medidas para la modernización del gobierno local, establece que las sesiones del Pleno de las Corporaciones Locales son públicas, salvo en aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. A su vez, el apartado 2 del referido artículo 70 establece que los acuerdos que adopten las Corporaciones Locales se publicarán o notificarán en la forma prevista por Ley. En el ámbito de la Comunidad de Madrid, la Ley 2/2003, de 11 de marzo, de Administración Local de la Comunidad de Madrid, regula en su artículo 23 la forma de efectuar la información a los vecinos y así establece que: "1. Los Municipios adoptaran las medidas organizativas oportunas para facilitar a los vecinos el derecho de información sobre los asuntos de interés local. 2. En todo caso los municipios establecerán a través de su Reglamento Orgánico el régimen de publicidad en lo que concierne a acuerdos, decretos y resúmenes expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 348 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

de las sesiones del pleno, sin perjuicio de que para aquellos cuya población sea inferior a 20.000 habitantes, dicha publicidad se encuentre garantizada mediante el tablón de anuncios." A la vista de la regulación legal señalada y teniendo en cuenta -especialmenteque sólo las sesiones del pleno son públicas y que el Reglamento Orgánico de cada Ayuntamiento es la norma prevista en la Ley a través de la cual se establecerá el régimen de publicidad de los acuerdos, decretos y resúmenes del pleno, habrá que acudir por tanto al Reglamento orgánico del Ayuntamiento de Pozuelo de Alarcón, para ver si contiene un régimen específico a través del cual se puede publicar en la Web municipal el contenido de estos acuerdos plenarios, en cuyo caso y si así estuviera previsto reglamentariamente y dichos acuerdos contuvieran información con datos de carácter personal que no afecte al honor, a la intimidad personal o familiar y a la propia imagen de los afectados, los mismos podrían ser objeto de publicación en la Web sin contravenir por ello la LOPD. Sin embargo, en el supuesto objeto del presente expediente, toda vez que los datos de cuya publicación se trata afectan claramente al honor, a la intimidad personal o familiar y a la propia imagen de los afectados, los mismos no deberán -en ningún caso- ser objeto de publicación en la Web, ni de difusión a través de un "Boletín informativo en formato papel", dado que este tipo de actuación contravendría lo dispuesto por la LOPD. 2º) El artículo 88..1 del Reglamento Orgánico Municipal (ROM) de Pozuelo de Alarcón es prácticamente idéntico al artículo 88.1 del Reglamento de Organización y Funcionamiento y Régimen Jurídico de las Entidades Locales (RD 2568/1986, de 28 de noviembre. ROF), e indican, respectivamente, lo siguiente: "Las sesiones del Pleno del Ayuntamiento son públicas. No obstante, podrá ser a puerta cerrada el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta." (ROM Posuelo de Alarcón)

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 349 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

"Serán públicas las sesiones del Pleno. No obstante, podrá ser secreto el debate y la votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución Española, cuando así se acuerde por mayoría absoluta." (ROF) Ni en este ni en ningún otro artículo del ROM de Pozuelo de Alarcón se indica nada sobre un régimen específico a través del cual se puede publicar en la Web municipal el contenido de estos acuerdos plenarios. 3º) Los datos personales se recabaron dentro del trámite de información pública que la normativa prevé de todo borrador de disposición de carácter general, es decir, la información pública va referida al texto de la futura norma, y no a la identidad de las personas que haciendo uso de su derecho a alegar en este trámite presenten el escrito correspondiente. La finalidad del tratamiento de los datos personales conocidos por estos escritos era cumplir con la obligación de valorar las alegaciones presentadas por todo aquel que estuviera habilitado a hacerlas, y no tratarlos en un documento (el extracto del Acta del Pleno) para publicarlos en la web corporativa. Sí hubo, por tanto, un tratamiento de datos personales para una finalidad distinta e incompatible de la que se pretendía originariamente, sin que pueda considerarse tal tratamiento un mero error material o de simple hecho. Hay, por ello, una comisión de la infracción tipificada en el artículo 44.4.b) de la LOPD. 4º) El Ayuntamiento de Pozuelo de Alarcón es el responsable del tratamiento de dichos datos, tanto si se trataron en las Actas del Pleno como en el extracto de dichas actas que posteriormente se publica en la web corporativa. Es incorrecto interpretar que porque su custodia se asigna al Secretario del Ayuntamiento en la Casa Consistorial (artículo 203 del ROF) el responsable del fichero correspondiente no es el Ayuntamiento. 5º) El bien jurídico protegido en el presente caso es, según establece el artículo 1 de la LOPD, "garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar". La demás normativa de aplicación al presente caso ha quedado ya reflejada en expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 350 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

apartados anteriores y a lo largo del presente expediente. La Ley 1/1982, de 5 de mayo, no determina la improcedencia de aplicación de la LOPD dado que el bien jurídico protegido en el presente caso es el que determina dicha LOPD y no el de la Ley 1/1982, de 5 de mayo. 6º) En el presente caso, y en futuros similares que se le planteen al Ayuntamiento, debe tenerse en cuenta las aclaraciones que al efecto se hacen en la Recomendación 2/2008, de 25 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios webs institucionales y en otros medios electrónicos y telemáticos. En concreto, lo previsto en su artículo 27, que indica, textualmente, lo siguiente: "Publicación de sesiones y acuerdos del Pleno de las Corporaciones Locales y de otros órganos de la Administración Local 27.1. La publicidad de la actividad administrativa de los gobiernos locales favorece la objetividad de la actuación administrativa local y el control social de su actividad, facilitando la participación de los ciudadanos en los asuntos públicos. 27.2. El artículo 70 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, establece que las sesiones del Pleno de las Corporaciones Locales son públicas, salvo en aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. Sin embargo, las sesiones de las Comisiones de Gobierno no son públicas. El apartado 2 del referido artículo 70 establece que los acuerdos que adopten las Corporaciones Locales se publicarán o notificarán en la forma prevista por la Ley. 27.3. En el ámbito de la Comunidad de Madrid, la Ley 2/2003, de 11 de marzo, de Administración Local de la Comunidad de Madrid, regula, en su artículo 23, la forma de efectuar la información a los vecinos de manera que:

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 351 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

a) Los Municipios adoptarán las medidas organizativas oportunas para facilitar a los vecinos el derecho de información sobre los asuntos de interés local. b) En todo caso, los municipios establecerán, a través de su Reglamento orgánico, el régimen de publicidad en lo que concierne a acuerdos, decretos y resúmenes de las sesiones del pleno, sin perjuicio de que para aquellos cuya población sea inferior a 20.000 habitantes, dicha publicidad se encuentre garantizada mediante el tablón de anuncios. 27.4. El artículo 207 del Real Decreto 2568/1986, de 28 de noviembre, que aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Corporaciones Locales, establece que todos los ciudadanos tienen derecho a obtener copias y certificaciones acreditativas de los acuerdos de los órganos de gobierno y administración de las entidades locales y de sus antecedentes, así como a consultar los archivos y registros en los términos que disponga la legislación de desarrollo del artículo 105.b), de la Constitución Española. La denegación o limitación de este derecho, en todo cuanto afecte a la seguridad y defensa del Estado, la averiguación de los delitos o la intimidad de las personas, deberá verificarse mediante resolución motivada. Además, de acuerdo con lo dispuesto por el artículo 229 del propio Real Decreto 2568/1986, de 28 de noviembre, sin perjuicio de lo dispuesto en el artículo 70.2 de la Ley 7/1985, de 2 de abril, la Corporación dará publicidad resumida del contenido de las sesiones plenarias y de todos los acuerdos del Pleno y de la Comisión de Gobierno, así como de las resoluciones del Alcalde y las que por su delegación dicten los delegados. A tal efecto, además de la exposición en el tablón de anuncios de la entidad, podrán utilizarse los siguientes medios: a) Edición, con una periodicidad mínima trimestral, de un Boletín Informativo de la entidad. b) Publicación en los medios de comunicación social del ámbito de la entidad. 27.5. En relación con el Ayuntamiento de Madrid, de acuerdo con el artículo 9.2 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 352 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

de la Ley 22/2006, de 4 de julio, de Capitalidad y Régimen Especial de Madrid, las sesiones del Pleno son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. El Pleno puede funcionar en comisiones que estarán formadas por los Concejales que designen los grupos políticos en proporción a su representación en el Pleno. En todo lo no previsto en dicha Ley en lo que se refiere a su convocatoria, constitución, funcionamiento y adopción de acuerdos, el Pleno se rige, en el marco de lo dispuesto por la legislación estatal básica en materia de gobierno y administración local, por su Reglamento Orgánico y las Resoluciones dictadas por su Presidente en interpretación de este. Esta regulación se complementa con lo previsto en el Reglamento Orgánico del Pleno del Ayuntamiento de Madrid, aprobado el 31 de mayo de 2004, que en relación con la publicidad de las sesiones del Pleno establece, en su artículo 55, que las sesiones del Pleno de las Corporaciones Locales son públicas. No obstante, podrán ser secretos el debate y votación de aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. Para ampliar la difusión del desarrollo de las sesiones podrán utilizarse sistemas de megafonía, circuitos de televisión o redes de comunicación tales como Internet. 27.6. De acuerdo con lo anterior, el Reglamento Orgánico de cada Ayuntamiento es la norma prevista en la Ley a través de la cual se establecerá el régimen de publicidad de los acuerdos, decretos y resúmenes del pleno. Habrá que acudir por tanto al Reglamento Orgánico de cada Ayuntamiento para comprobar si contiene un régimen específico a través del cual se pueda publicar en el sitio web municipal el contenido de estos acuerdos plenarios. En consecuencia, si así se encuentra previsto reglamentariamente y siempre que dichos acuerdos en los que se contiene información con datos de carácter personal no afecten al honor, a la intimidad personal o familiar y a la propia imagen de los afectados, los mismos podrán ser objeto de publicación en el sitio expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 353 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

web institucional del Ayuntamiento sin contravenir por ello la Ley Orgánica 15/1999, de 13 de diciembre. 27.7. De conformidad con el principio de finalidad previsto en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, los datos personales serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual se registraron, por lo que la Administración u Órgano competente deberá analizar caso por caso la finalidad por la que los datos personales fueron incorporados al acuerdo municipal para determinar cuándo deberán ser cancelados. 27.8. A su vez, debe tenerse en cuenta que, en ocasiones, los datos personales objeto de publicación no son los de los miembros del Pleno, sino de terceras personas. En consecuencia, con la publicación de los datos a través del sitio web del Ayuntamiento se realizaría una cesión de datos personales de personas que no son miembros del Pleno a través de Internet. En estos casos, para la consecución de la finalidad perseguida, lo más habitual es que no sea necesario incluir datos personales de los ciudadanos y, por ello, dicha publicación resultaría excesiva. Por tanto, el Ayuntamiento no debería publicar en Internet dichos datos. Sin embargo, debe tenerse en cuenta que en algunos casos puede ocurrir que en la discusión de un tema esencial en la actividad política del Ayuntamiento se incluyan datos personales y que estos datos sean imprescindibles para la comprensión del asunto de que se trate. En este caso, deberá considerarse que la publicación de dichos datos personales no es excesiva para la finalidad perseguida. Por tanto, solo en el supuesto de que la publicación de los datos personales de terceras personas que surjan en los debates pueda contribuir al conocimiento por los ciudadanos de la actividad política que desarrolla el Pleno podrá realizarse dicha publicación sin infringir el principio de calidad de los datos. En consecuencia, se recomienda que en la publicación y la eventual difusión de los datos personales de los ciudadanos en general surgidos en el marco de los debates

del

Pleno

Municipal

a

través

de

Internet,

el

Ayuntamiento

correspondiente atienda las posibles solicitudes de acceso, cancelación u expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 354 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

oposición ejercidas por los ciudadanos afectados por dicha publicación, debiendo adoptar las medidas oportunas para garantizar el ejercicio de estos derechos cuando dichas solicitudes se produjeren. 27.9. Para la publicación de actas y acuerdos del resto de Órganos de la Administración Local en sitios web institucionales regirán las reglas descritas en este artículo, de manera que no podrán publicarse datos personales de los ciudadanos que afecten a su derecho al honor, a la intimidad personal o familiar y a la propia imagen." Por todo lo dicho, se considera que las Alegaciones presentadas no desvirtúan los hechos imputados y que el Ayuntamiento de Pozuelo de Alarcón ha incurrido en la comisión de la infracción muy grave, regulada en el en el artículo 44.4.b) de la LOPD, que tipifica como tal "La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas", por publicar en la web corporativa un extracto del Pleno del Ayuntamiento correspondiente al día 16 de abril de 2007 con datos personales (nombre, apellidos, DNI y domicilio) de 204 personas que habían presentado alegaciones a los proyectos de Ordenanzas Municipales en el trámite de información pública. V Sin perjuicio de lo expuesto, cabe destacar que el Ayuntamiento de Pozuelo ha demostrado una sensibilidad especial en todo lo concerniente al cumplimiento de los principios de protección de datos, estando incursa esta organización en un procedimiento de modernización administrativa que busca la eficacia en el desarrollo de su actividad y la mejora en la satisfacción de la sociedad civil. Así, según se constata, con carácter general, el tratamiento de datos personales se viene realizando en cumplimiento del principio de calidad de datos y demás principios establecidos en el Título II de la LOPD siendo su recogida y tratamiento adecuados, pertinentes y no excesivos, y compatibles con la competencia administrativa que puede concretarse en: - Tener una estructura organizativa que se encarga de velar por estos asuntos, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 355 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

que incluye personal propio y empresas de asesoramiento especializado externo para velar por el cumplimiento de la Ley. - Mantener una interlocución fluida con la APD utilizando todos los recursos que la propia APD pone a nuestra disposición, particularmente aquellas cuestiones de especial sensibilidad (videovigilancia). - Realizar controles internos para minimizar la probabilidad de hacer pública información sensible, en muchos casos con dobles controles: Visto bueno de organismo técnico así como control posterior en el momento previo de la publicación. A su vez, según se señala por el Ayuntamiento imputado y no ha podido rebatirse en el curso del procedimiento, con carácter general, el tratamiento de datos personales que realiza dicha Corporación se dirige a desarrollar la vertiente objetiva de los derechos fundamentales y garantizar la efectividad de los derechos reconocidos en la Constitución como el de participación política (art. 23 CE), libertad sindical (art. 28 CE), Educación Universal y gratuita (art. 27 CE), asistencia sanitaria (artículo 43 CE), servicios sociales (art. 50 CE), lo cual conlleva a que las autoridades de control tienen y deben interpretar la protección de datos de una forma sistemática y no autónoma, de forma que el derecho a la autodeterminación informativa de los particulares debe ser modulado con la vertiente objetiva de otros derechos fundamentales que las Administraciones Locales deben garantizar por imperativo de la Constitución y de la Legislación reguladora de las Bases de Régimen Local. Vistos los preceptos citados y demás de general de aplicación, El Director de la Agencia de Protección de Datos de la Comunidad de Madrid, RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE POZUELO DE ALARCÓN ha incurrido en la comisión de Una infracción muy grave, regulada en el en el artículo 44.4.b) de la LOPD, que tipifica como tal "La comunicación o cesión de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 356 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Agencia de Protección de Datos de la Comunidad de Madrid

los datos de carácter personal, fuera de los casos en que estén permitidas", por publicar en la web corporativa un extracto del Pleno del Ayuntamiento correspondiente al día 16 de abril de 2007 con datos personales (nombre, apellidos, DNI y domicilio) de 204 personas que habían presentado alegaciones a los proyectos de Ordenanzas Municipales en el trámite de información pública. SEGUNDO: NOTIFICAR la presente resolución al Ayuntamiento de POZUELO DE ALARCÓN, y a los siguientes denunciantes: - XXX, portavoz del Grupo Municipal Socialista de Pozuelo de Alarcón. (E/XXX/2008) - YYY (E/YYY/2008). - ZZZ, Presidente y portavoz de la Asociación de Vecinos … de Pozuelo de Alarcón" (E/ZZZ/2008). TERCERO.- COMUNICAR la presente resolución al Defensor del Pueblo de conformidad con lo establecido en el artículo 46.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y

en el

artículo 16.4 del Decreto por el que se aprueba el reglamento de desarrollo de las funciones de control y tutela de derechos de la Agencia de Protección de Datos de la Comunidad de Madrid. CUARTO: ADVERTIR al Ayuntamiento de POZUELO DE ALARCÓN que contra esta Resolución, que pone fin a la vía administrativa (artículo 14.3 de la Ley 8/2001, de 13 de julio, de Protección de Datos en la Comunidad de Madrid), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, según la redacción dada por la Ley 4/1999, de 13 de enero, que la modifica, podrán interponer potestativamente recurso de reposición ante el Director de la Agencia de Protección de Datos de la Comunidad de Madrid en el plazo de un mes a contar desde el día siguiente a la notificación

de

esta

resolución,

o,

directamente

recurso

contencioso

administrativo ante los Juzgados de lo Contencioso Administrativo. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 357 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Audiencia Nacional

VULNERACIÓN DEL DEBER DE SECRETO MEDIANTE PUBLICACIÓN DE COPIA DE UN ESCRITO EN EL TABLÓN DE ANUNCIOS DE UN AYUNTAMIENTO AUDIENCIA NACIONAL. Sentencia de 09-05-2008. Sala de lo ContenciosoAdministrativo. SECCIÓN PRIMERA. Vulneración del deber de secreto mediante publicación de copia de un escrito en el tablón de Anuncios de un Ayuntamiento. La AN desestima el recurso Madrid, a nueve de mayo de dos mil ocho. Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional los autos del recurso contencioso-administrativo núm. 211/07 interpuesto por la Procuradora DOÑA X.X.X., en nombre y representación del AYUNTAMIENTO DE LA HUERGUINA (CUENCA), contra resolución de fecha 14 de marzo de 2007 de la Agencia Española de Protección de Datos, representada y defendida

por

el

Sr.

Abogado

del

Estado,

sobre

infracción

de

las

Administraciones públicas. La cuantía del recurso es indeterminada. ANTECEDENTES DE HECHO PRIMERO.- Por la parte recurrente se interpuso recurso contencioso mediante escrito presentado el acordándose por providencia de 27 de junio de 22 de mayo de 2007, 2007 su tramitación de conformidad con las normas establecidas en la Ley 29/98, y la reclamación del expediente administrativo. SEGUNDO.- En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 1 de octubre de 2007, en el cual, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia por la que se anule y deje sin efecto la resolución recurrid, con imposición de costas a la Administración demandada. TERCERO.- El Abogado del Estado contestó a la demanda mediante escrito presentado el 20 de diciembre de 2007, en el cual, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos, terminó suplicando se dictara expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 358 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Audiencia Nacional

sentencia por la que se desestime el presente recurso confirmando el acto administrativo impugnado, con expresa condena en costas a la parte actora. CUARTO.- No habiéndose solicitado el recibimiento a prueba del recurso, ni la celebración de vista o trámite de conclusiones, se declararon conclusas las actuaciones, señalándose para votación y fallo el día 6 de mayo de 2008, fecha en la que tuvo lugar la deliberación y votación, habiendo sido Ponente el Ilmo. Sr. Magistrado Don Y.Y.Y., quien expresa el parecer de la Sala. FUNDAMENTOS DE DERECHO PRIMERO.- El Ayuntamiento de la Huérguina interpone recurso contenciosoadministrativo contra la resolución de la Agencia Española de Protección de Datos de 14 de marzo de 2007 por la que se declara que el citado Ayuntamiento ha infringido lo dispuesto en el artículo 10 de la LOPD, lo que supone una infracción tipificada como leve en el art. 44.2.e) de la citada Ley Orgánica. En la citada resolución se declaraban como hechos probados los siguientes: PRIMERO: Con fecha 10 de octubre de 2005, y por orden del Ayuntamiento de la Huerguina, se procedió a colocar en el Tablón de Anuncios que se encuentra en la fachada del citado Ayuntamiento, copia del escrito, de denuncia presentado, ante la Delegación Provincial de Sanidad y Consumo de Cuenca, por D. V.V.V., Dña. W.W.W., D. Z.Z.Z. que, D. A.A.A. y Dña. B.B.B. ante la Delegación Provincial de Sanidad y Consumo de Cuenca, así como copia del oficio de la citada Delegación Provincial (folios 15 a 17). SEGUNDO: D. V.V.V., Dña. W.W.W., D. Z.Z.Z. que, D. A.A.A. y Dña. B.B.B. adjuntan a sus escritos de denuncia ante esta Agencia varias fotografías de la fachada del Ayuntamiento en la que se aprecia la existencia de un tablón, protegido por un cristal con cerradura, en el que se pueden identificar los citados escritos (folio 18). Los hechos declarados probados no han sido discutidos en este proceso. Considera la Agencia que el citado Ayuntamiento ha infringido el deber de secreto que regula el art. 10 de la LOPD, por cuanto dicho deber tiene como expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 359 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Audiencia Nacional

finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, realicen filtraciones no consentidas por los titulares de dichos datos. El demandante sostiene que la denuncia no fue expuesta por orden municipal sino por la acción unilateral de un operario municipal y que los datos que aparecían en dicha denuncia (nombre, apellidos y DNI) son irrelevantes e intrascendentes, sin que resulte perjuicio alguno para los denunciantes ya que son abstractos y asépticos. Además señala que quien presenta una denuncia y además lo hace frente a un ente público debe asumir por su propia naturaleza que consiente en la difusión de la misma. SEGUNDO.- El Art. 10 de la LOPD regula de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos, lo que refleja la gran importancia que el legislador atribuye al mismo. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo de acuerdo con lo dispuesto en otros preceptos de la LOPD, como el Art. 11 (comunicación de datos) ó 12 (acceso a los datos por cuenta de terceros). Este Art. 10, junto con el Art. 9 LOPD que regula las medidas de seguridad, contiene una regla que afecta a la confidencialidad

como

parte

de

la

seguridad,

por

lo

que

se

refiere

especialmente al responsable del fichero y a las personas que hayan participado en el tratamiento. Este precepto traspone el Art. 16 de la Directiva 95/46/CE que lleva como título “Confidencialidad del tratamiento” y dispone que “Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control o disposición sobre sus datos. Por ello, la vulneración del deber del secreto está tipificada como infracción y los obligados a guardar dicho deber de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 360 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Audiencia Nacional

secreto pueden incurrir en una infracción que puede ser leve, grave o muy grave, como se refleja en los diversos apartados del Art. 44 LOPD, en concreto 2.e), 3.g) y 4.g). TERCERO.- En el presente caso el Ayuntamiento recurrente reconoce que se procedió a colocar en el Tablón de Anuncios que se encuentra en la fachada del Ayuntamiento, copia del escrito de denuncia presentado, ante la Delegación Provincial de Sanidad y Consumo de Cuenca, por D. V.V.V., Dña. W.W.W., D. Z.Z.Z.que, D. A.A.A. y Dña. B.B.B., así como copia del oficio de la citada Delegación Provincial, constando en dichas denuncias el nombre y apellidos de los denunciantes y el número de su documento nacional de identidad. Ciertamente a través de esta actuación el Ayuntamiento de la Huerguina (Cuenca) estaba divulgando o revelando datos de carácter personal sin ningún título que amparase tal revelación. El nombre y apellidos y el número de documento nacional de identidad asociado a los anteriores son, sin ningún género de dudas datos de carácter personal, que no deben ser comunicados a terceros salvo que nos encontremos en alguno de los supuestos contemplados en los artículos 11 o 12 de la LOPD (cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con previo consentimiento del interesado, cesión autorizada en una ley, cuanto se trate de datos recogidos de fuentes accesibles al público, cuando el tratamiento responda a libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, etc...), no dándose en el presente caso ninguna de las circunstancias recogidas en dichos preceptos, sin que sea admisible la apuntada por la Corporación demandante de que quien presenta una denuncia y además lo hace frente a un, ente público debe asumir por su propia naturaleza que consiente en la difusión de la misma, máxime cuando la Administración tiene un específico deber de secreto además del general dimanante de la LOPD. Tampoco es admisible el argumento de que la actuación determinante de la infracción fue realizada por un empleado municipal sin la autorización de sus superiores, pues atendida la dimensión de la Corporación no resulta creíble que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 361 de 609

PROCEDIMIENTOS SANCIONADORES – CIUDADANOS Audiencia Nacional

tal comportamiento —exposición pública en el tablón de anuncios del Ayuntamiento- no fuera conocido por los responsables municipales. En virtud de lo expuesto, procede la confirmación del acto recurrido con desestimación del recurso contencioso-administrativo interpuesto. CUARTO.- No concurren las causas expresadas en el Art. 139 de la Ley de la Jurisdicción para la imposición de las costas procesales a ninguna de las partes. FALLAMOS DESESTIMAR el recurso contencioso administrativo interpuesto por la Procuradora DOÑA X.X.X., en nombre y representación del AYUNTAMIENTO DE LA HUERGUINA (CUENCA), contra resolución de fecha 14 de marzo de 2007 de la Agencia Española de Protección de Datos por la que se declara que el citado Ayuntamiento ha infringido lo dispuesto en el artículo 10 de la LOPD, lo que supone una infracción tipificada como leve en el art. 44.2.e) de la citada Ley Orgánica, sin imposición de costas a ninguna de las partes. Así, por esta nuestra sentencia de la que se llevara testimonio a las actuaciones, lo pronunciamos, mandamos y firmamos. PUBLICACIÓN.- Leída y publicada legalmente establecida. Doy fe. En Madrid

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 362 de 609

V) URBANISMO

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 363 de 609

A) INFORMES JURÍDICOS CESIÓN DE DATOS CATRASTALES POR RAZONES URBANÍSTICAS. INFORME 0171/2003. 365

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 364 de 609

INFORMES JURÍDICOS – URBANISMO Agencia Española de Protección de Datos

CESIÓN DE DATOS CATRASTALES POR RAZONES URBANÍSTICAS. INFORME 0171/2003 La consulta planteaba si resulta conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la comunicación a los Órganos de la Corporación Municipal competentes en materia de Urbanismo de los datos comprendidos en las bases de datos catastrales y el Padrón del Impuesto sobre Bienes Inmuebles, en cumplimiento de la legislación urbanística de la Comunidad Autónoma de Murcia.

La transmisión entre las dependencias municipales de los datos a los que se refiere la consulta constituye una auténtica cesión de datos, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como "Toda revelación de datos realizada a una persona distinta del interesado".

En relación con las cesiones entre administraciones públicas, el artículo 21.1 de la Ley Orgánica, en la redacción resultante de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, dispone que "Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para desempeño

de

sus

atribuciones

no

serán

comunicados

a

el

otras

Administraciones Públicas para el ejercicio de competencias diferentes o de competencias

que

versen

sobre

materias

distintas,

salvo

cuando

la

comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos". Por este motivo, dado que el supuesto contemplado no se encontraría entre los previstos en el mencionado precepto, sería preciso atender el régimen general que para las cesiones de datos establece el artículo 11 de la Ley Orgánica, cuyo apartado 1 dispone que "Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 365 de 609

INFORMES JURÍDICOS – URBANISMO Agencia Española de Protección de Datos

interesado". No obstante, esta regla general de consentimiento se ve exceptuada en los supuestos enumerados en el artículo 11.2 de la Ley, cuyo apartado a) permite la cesión de los datos sin contar con el consentimiento del afectado en aquellos supuestos en que exista una norma con rango de Ley que otorgue cobertura a la comunicación planteada. Pues bien, en el presente caso, la Ley 1/2001, de 24

abril, de Normas

Reguladoras del Suelo en la Región de Murcia establece la necesidad de notificar determinados acuerdos en materia urbanística a "los titulares que consten en el catastro"; tal como se indica en la consulta. Así se establece en el artículo 139 c) de la mencionada Ley, referido a las "modificaciones que no afecten a los elementos estructurales del Plan General y las Normas Complementarias", según el cual será preceptiva la notificación a los mencionados

titulares

"que

resulten

incluidos

en

el

ámbito

de

la

modificación cuando ésta sea de iniciativa particular". Del mismo modo, en la tramitación de Planes Parciales y Especiales previstos en el planeamiento general, regulada por el artículo 140, se indica que "cuando se trate de planes de iniciativa particular el acuerdo habrá de notificarse individualmente a los titulares que consten en el Catastro, para que, en el mismo plazo, puedan alegar lo que a su derecho convenga". Asimismo, según el artículo 172, los Programas de Actuación, como instrumentos de gestión urbanística que tienen por objeto establecer las bases técnicas y económicas de las actuaciones en los sistemas de concertación, compensación, cooperación y concurrencia, contendrán en todo caso la "identificación del promotor, y relación de los propietarios y de los titulares que consten en el Catastro y, en su caso, en el Registro de la Propiedad". Por último, el artículo 173.3, dentro de las normas reguladoras de la tramitación separada de los mencionados programas dispone que "corresponde al Ayuntamiento la aprobación inicial y la apertura de un período de información expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 366 de 609

INFORMES JURÍDICOS – URBANISMO Agencia Española de Protección de Datos

pública de veinte días como mínimo, que se notificará a los propietarios y titulares que consten en el Catastro, y, en su caso, en el Registro de la Propiedad, y se anunciará en el «Boletín Oficial de la Región» y en dos de los diarios de mayor difusión regional". En consecuencia, la Ley Autonómica establece la necesidad de que por parte de los órganos urbanísticos de la Corporación Municipal se tenga conocimiento del dato referido a la titularidad catastral de las fincas, así como el domicilio del titular, a fin de poder dar cumplimiento a las obligaciones de notificación legalmente establecidas, por lo que la comunicación del dato referente a la titularidad catastral y el domicilio del titular se encontraría amparada por el ya mencionado artículo 11.2 a) de la Ley Orgánica 15/1999, siendo lícita la comunicación de los datos citados, siempre en el seno de los procedimientos en los que la legislación urbanística impone el deber de comunicación al titular catastral. No obstante, esta habilitación se encuentra limitada en un doble sentido: -En primer lugar, se referirá, como se acaba de señalar, a los procedimientos en que la notificación venga impuesta por la legislación urbanística. -En segundo lugar, en cuanto a su extensión, quedará limitada a los datos necesarios para efectuar las mencionadas notificaciones, lo que implicará la comunicación de los datos referentes a la descripción física de la finca, la delimitación de su titular catastral y el domicilio del mismo, necesario para lograr la práctica de la notificación, pero no a aquellos que resulten irrelevantes o excesivos en relación con la mencionada práctica. Ello se funda en el hecho de que el artículo 4.1 de la Ley Orgánica 15/1999 viene a consagrar el principio de proporcionalidad en el tratamiento de los datos de carácter personal, indicando que "Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido". De este modo, sólo serán susceptibles de comunicación los datos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 367 de 609

INFORMES JURÍDICOS – URBANISMO Agencia Española de Protección de Datos

necesarios para la finalidad de notificación perseguida, pero no los que sean irrelevantes para lograr la misma (como por ejemplo el valor catastral de la finca). Por otra parte, y sin perjuicio de lo que se ha venido indicando, dado que los datos que se solicitan se encuentran incorporados a ficheros de naturaleza tributaria (padrón del impuesto sobre bienes inmuebles,) es necesario recordar que la transmisión de dichos datos se encuentra limitada por lo establecido en el artículo 113.1 de la Ley 230/1963, de 28 de diciembre General Tributaria (aplicable a los ficheros de las Haciendas Locales en virtud de la remisión efectuada por el artículo 2 de su Ley reguladora), que limita taxativamente los supuestos en que los datos de naturaleza tributaria pueden ser objeto de comunicación. En este sentido, el mencionado precepto dispone que "Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienes carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: a) La investigación o persecución de delitos públicos por los órganos jurisdiccionales o el Ministerio Público. b) La colaboración con otras Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias. c) La colaboración con la Inspección de Trabajo y Seguridad Social y con las Entidades Gestoras y Servicios Comunes de la Seguridad Social en la lucha contra el fraude en la cotización y recaudación de las cuotas del sistema de Seguridad Social, así como en la obtención y disfrute de prestaciones a cargo del mismo sistema. d) La colaboración con cualesquiera otras Administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 368 de 609

INFORMES JURÍDICOS – URBANISMO Agencia Española de Protección de Datos

a cargo de fondos públicos o de la Unión Europea. e) La colaboración con las comisiones parlamentarias de investigación en el marco legalmente establecido. f) La protección de los derechos e intereses de los menores e incapacitados por los órganos jurisdiccionales o el Ministerio Fiscal. g) La colaboración con el Tribunal de Cuentas en el ejercicio de sus funciones de fiscalización de la Agencia Estatal de Administración Tributaria. h) La colaboración con los Jueces y Tribunales para la ejecución de resoluciones judiciales firmes. La solicitud judicial de información exigirá resolución expresa, en la que previa ponderación de los intereses públicos y privados afectados en el asunto de que se trate y por haberse agotado los demás medios o fuentes de conocimiento sobre la existencia de bienes y derechos del deudor, se motive la necesidad de recabar datos de la Administración tributaria. i) La colaboración con el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, con la Comisión de Vigilancia de Actividades de Financiación del Terrorismo y con la Secretaría de ambas comisiones, en el ejercicio de sus funciones respectivas. j) La colaboración con órganos o entidades de derecho público encargados de la recaudación de recursos públicos no tributarios para la correcta identificación de los obligados al pago. k) La colaboración con las Administraciones públicas para el desarrollo de sus funciones, previa autorización de los obligados tributarios a que se refieran los datos suministrados". Dado que el supuesto planteado no se encuentra recogido en los taxativamente enumerados en el precepto, resulta lógica la conclusión de que únicamente será posible en derecho la comunicación a las dependencias urbanísticas

de

los datos

indispensables

para

que

puedan

practicarse

debidamente las notificaciones a los titulares catastrales establecidas en la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 369 de 609

INFORMES JURÍDICOS – URBANISMO Agencia Española de Protección de Datos

legislación urbanística. En consecuencia, procedería únicamente la cesión de los datos referidos a la identificación de los titulares catastrales de las fincas y su domicilio, así como las características que permitan individualizar la finca, pero ningún otro dato, y en ningún supuesto los que obren en ficheros de naturaleza tributaria.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 370 de 609

B) PROCEMIENTOS SANCIONADORES RECOGIDA Y TRATAMIENTO DE DATOS PARA SERVICIOS “ECOPARQUE” MUNICIPAL. ART. 5 Y 20 DE LOPD.............................................................................................................................. 372

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 371 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

RECOGIDA Y TRATAMIENTO DE DATOS PARA SERVICIOS “ECOPARQUE” MUNICIPAL. ART. 5 Y 20 DE LOPD. Procedimiento Nº AP/00006/2008 RESOLUCIÓN: R/01004/2008 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00006/2008, instruido por la Agencia Española de Protección de Datos a la entidad AYUNTAMIENTO DE TOTANA vista la denuncia presentada por D. R.R.R., y en base a los siguientes, ANTECEDENTES PRIMERO: Ha tenido entrada, con fecha 6/9/2006, el escrito presentado por D. R.R.R. ( en lo sucesivo el denunciante), en el que denuncia que la empresa URBASER, concesionaria del servicio de limpieza y tratamiento de residuos del Ayuntamiento de Totana ( en lo sucesivo el Ayuntamiento), ha instalado un punto limpio para el depósito de basuras y residuos denominado “Ecoparque”, siendo preciso para la utilización del servicio citado suministrar: el nombre DNI, dirección y firma; datos que considera el denunciante son excesivos, no informándose a los afectados acerca de la finalidad de dichos datos. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos, ordenó a la Subdirección General de Inspección de Datos el inicio de actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de lo siguiente: A) Respecto de las instalaciones del Ecoparque. En la visita de inspección realizada en las instalaciones del Ecoparque, en fecha 20/2/2006, se pudo verificar que se realiza la recogida de datos informada por el denunciante. Igualmente se ha verificado que no se realiza la información al afectado en la recogida, prevista en la Ley Orgánica 15/1999, de 13/12, de Protección de Datos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 372 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

de Carácter Personal en su artículo 5. B) De la información recabada, durante la inspección en el Ayuntamiento en fecha 20/2/2006 se desprende lo siguiente: a) El Ayuntamiento, a través de una empresa concesionaria, presta el servicio de gestión de residuos sólidos urbanos, que incluye aquéllos que deben ser reciclados, a cuyo efecto tiene habilitado un centro de recogida denominado “Ecoparque”, donde se realiza la recogida y posterior entrega de los residuos a empresas especializadas en el reciclado. b) El Ecoparque inició su actividad en el mes julio de 2006. y su gestión, en nombre del Ayuntamiento, fue encomendada a la entidad URBASER S.A. que la mantuvo hasta el 15/2/2007, fecha a partir de la cual dicha gestión ha sido encomendada a Grupo Generala SL. c) El proceso de recogida de residuos requiere la identificación del ciudadano que realiza el depósito, al que se le requieren un conjunto de datos de carácter personal: “nombre y apellidos, DNI, domicilio”, que se incluyen en un registro gestionado por la empresa concesionaria. El motivo de la recogida de la información está en la necesidad de controlar que los residuos depositados para su reciclado tienen su origen en la actividad de domicilios particulares, pues no se acepta el depósito de residuos generados por actividades empresariales, habida cuenta de la obligación legal de las empresas de gestionar sus propios residuos. Además dicho registro permite realizar estadísticas sobre el tipo y volumen de residuos recogidos. d) La recogida de datos es realizada por el personal de la empresa prestadora del servicio siguiendo las directrices que de forma verbal le fueron dadas por los responsables de la Concejalía de

Medio

Ambiente

y

Actividades del

Ayuntamiento. De acuerdo a dichas instrucciones la entidad debía remitir de forma periódica al área de Medio Ambiente los asientos incluidos en dicho registro. e) Los representantes del Ayuntamiento han reconocido la recolección de datos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 373 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

de carácter personal en el Ecoparque. Así mismo manifiestan que en breve se procederá a la sustitución del modelo actual por el documento denominado “Ficha de Admisión de Residuos” incluido en la Guía de Gestión de la Red de Ecoparques de la Región de Murcia, que ha sido elaborada por la Consejería de Medio Ambiente. En ambos modelos se recaba idéntico conjunto de datos de carácter personal. f) Se verifica la existencia de una carpeta que la que se recogen fotocopias de hojas/registro que abarcan el periodo comprendido entre 14/7/2006 y el 30/11/2006 en las cuales se recaban los siguientes datos de carácter personal: nombre y apellidos, D.N.I. y firma. A partir de las hojas correspondientes al mes de agosto se recoge además el domicilio. C) No consta la inscripción del fichero en la Agencia Española Protección de Datos. TERCERO: Con fecha 12/02/2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al Ayuntamiento por las presunta infracciones de los artículos 5 y 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leves en los apartados d) y c), respectivamente, del artículo 44.2 de dicha norma. CUARTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas, el Ayuntamiento presentó escrito de alegaciones en el que, en síntesis, manifestaba que los datos solicitados en el Ecoparque Municipal a los usuarios se basan en la guía de gestión de la Red de Ecoparques de la región de Murcia elaborada por la Consejería de desarrollo Sostenible y Ordenación del territorio de la Región de Murcia y adjunta modelo de dicha guía de gestión. QUINTO: Con fecha 31703/2008, , se acordó por el Instructor del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/01027/2006, así como la documental aportada por el Ayuntamiento . expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 374 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

SEXTO: Transcurrido el período de práctica de pruebas, se inició el trámite de audiencia el que se puso de manifiesto el expediente al presunto responsable a fin de que tomase vista del expediente y efectuase las alegaciones que estime oportunas. SÉPTIMO: Con fecha 8/07/2008, el Instructor del procedimiento formula Propuesta de Resolución en la que propone que el Director de la Agencia Española de Protección de Datos declare que el Ayuntamiento ha infringido el artículo 5 y 20 de la LOPD , conductas tipificadas como leve y grave respectivamente, en los articulo 44.2.d) y 44.3.a) FUNDAMENTOS DE DERECHO PRIMERO: Con fecha 6/9/2006, D. R.R.R. denuncia que la empresa URBASER, concesionaria

del

servicio

de

limpieza

y

tratamiento

de

residuos

del

Ayuntamiento ha instalado un punto limpio para el depósito de basuras y residuos denominado “Ecoparque”, siendo preciso para la utilización del servicio citado suministrar: el nombre DNI, dirección y firma; datos que considera el denunciante son excesivos, no informándose a los afectados acerca de la finalidad de dichos datos folios 1 a 4). SEGUNDO: El Ayuntamiento presta el servicio de gestión de residuos sólidos urbanos a cuyo efecto tiene habilitado un centro de recogida denominado “Ecoparque”, que inició su actividad en el mes julio de 2006 y su gestión fue encomendada a la empresa Urbaser y, a partir del 15/2/2007, al Grupo Generala SL. ( folios 17 a 19) TERCERO: La recogida de datos es realizada por el personal de la empresa prestadora del servicio siguiendo las directrices que de forma verbal le fueron dadas por los responsables de la Concejalía de Medio Ambiente y Actividades del Ayuntamiento. De acuerdo a dichas instrucciones la entidad debía remitir de forma periódica al área de Medio Ambiente los asientos incluidos en dicho registro ( folio 18) . expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 375 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

CUARTO: En la visita de inspección realizada en las instalaciones del “ Ecoparque”, en fecha 20/2/2006, se pudo verificar que se realiza la recogida de datos de carácter personal consistente en : nombre y apellidos, D.N.I, firma y a partir de las hojas correspondientes al mes de agosto se recoge además el domicilio. ( folio 18). QUINTO: Igualmente se verificó que no se realiza la información al afectado en la recogida de los datos referidos, prevista en la LOPD en su artículo 5 ( folio 18). SEXTO: El Ayuntamiento han reconocido la recolección de datos de carácter personal en el “Ecoparque” y que en breve se procederá a la sustitución del modelo actual por el documento denominado “Ficha de Admisión de Residuos” incluido en la Guía de Gestión de la Red de Ecoparques de la Región de Murcia, que ha sido elaborada por la Consejería de Medio Ambiente. En ambos modelos se recaba idéntico conjunto de datos de carácter personal ( folio 18. SÉPTIMO: No consta la creación de disposición de creación del fichero ni su inscripción en el Registro General de Protección de Datos. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El Acuerdo de Inicio de Procedimiento de Declaración de Infracción de Administraciones Públicas imputa al Ayuntamiento, entre otra, la infracción del articulo 20 de la LOPD, tipificada de infracción leve. No obstante, de la tramitación del procedimiento y de los hechos probados se concluye, de acuerdo con el principio de “tipificación”, que constituyen una infracción al artículo 20 de la LOPD tipificada de infracción expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 376 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

“grave” la haber iniciado la recogida de datos sin la disposición de creación del “fichero”, por lo que, procede en la presente Propuesta de Resolución la modificación de la gravedad de la imputación al Ayuntamiento recalificando la gravedad de la conducta a una vulneración del articulo 20 de la LOPD tipificada de falta grave en el artículo 44.3.a) de la LOPD. Dado que, los hechos recogidos en el Acuerdo de Inicio de Procedimiento de Declaración de Infracción de las Administraciones Públicas y los de la Propuesta de Resolución son los mismos y el Ayuntamiento puede alegar lo que estime oportuno a la presente imputación, no se produce indefensión para el imputado. En este sentido, entre otras, la Sentencia de la Audiencia Nacional de 7/11/2002, dictada en recurso n.º 751/2001. III La LOPD en su artículo 20. 1 y 2 señala lo siguiente: “1. La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente”. 2. Las disposiciones de creación o de modificación de ficheros deberán indicar: a) La finalidad del fichero y los usos previstos para el mismo. b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. c) El procedimiento de recogida de los datos de carácter personal. d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. f) Los órganos de las Administraciones responsables del fichero. g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible”. Por su parte, el artículo 55 del citado Real Decreto 1720/2007, de 21/12. por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 377 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

13712, de protección de datos de carácter personal establece que: “Todo fichero de datos de carácter personal, de titularidad pública será notificado a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, ene. plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente”. El Ayuntamiento, que presta un servicio de gestión de residuos sólidos urbanos a cuyo efecto tiene habilitado un centro de recogida denominado “Ecoparque”, ha reconocido la recogida de datos de carácter personal por el personal de la empresa prestadora de su gestión siguiendo las directrices que de forma verbal le fueron dadas por los responsables de la Concejalía de Medio Ambiente y Actividades del Ayuntamiento y que remite de forma periódica al área de Medio Ambiente los asientos incluidos en dicho registro sobre los usuarios a los que se recogen los datos de carácter personal consistente en : nombre y apellidos, D.N.I, firma y el domicilio, por lo que utiliza una herramienta informática específica para la explotación del servicio. Constatada la existencia de un “fichero” en los términos del artículo 3 de la LOPD, el Ayuntamiento debió, previamente a su creación y tratamiento de los datos, crear la disposición de creación y solicitar la inscripción del citado “fichero” en el Registro General de Protección de Datos, por lo que, ha de entenderse conculcado el trascrito artículo 20 de la LOPD. IV El artículo 44.3.a) de la LOPD tipifica de infracción grave: “Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general,

publicada

en

el

Boletín

Oficial

del

Estado

o

diario

oficial

correspondiente”.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 378 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

Ha quedado probado que el Ayuntamiento para la gestión del servicio de residuos urbanos creó y utilizó una herramienta informática específica para la explotación del servicio. Constatada la existencia de un “fichero” y su utilización, el Ayuntamiento debió solicitar su inscripción en el Registro General de Protección de Datos, por lo que, ha de entenderse conculcado el trascrito artículo 20.1 de la LOPD. V La LOPD en su artículo 5.1 dispone lo siguiente: “1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”. La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el “principio de información” como un elemento indispensable del derecho fundamental a la protección de datos al declarar que: “...el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 379 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele” . El Ayuntamiento, no obstante reconocer que recaba el nombre y apellidos, D.N.I, firma y domicilio de los usuarios del “ Ecoparque”, no informa de los extremos recogidos en el artículo 5 de la LOPD, conducta que supone la vulneración de lo dispuesto en el citado artículo. Alega el Ayuntamiento que los datos solicitados en el “Ecoparque” municipal a los usuarios se basan en la guía de gestión de la Red de Ecoparques de la región de Murcia elaborada por la Consejería de desarrollo Sostenible y Ordenación del territorio de la Región de Murcia. Sin embargo, tal alegación debe desestimarse, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 380 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

puesto que es el Ayuntamiento, a través de la empresa gestora, quien recaba los datos de carécter personal y le dan traslado de los registros de los usuarios, por lo que , es el responsable del fichero y quien debe adoptar las cautelas para la gestión del mismo en observancia de la normativa sobre protección de datos VI El artículo 44.3.a) de la LOPD tipifica de infracción grave: “a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general,

publicada

en

el

“Boletín

Oficial

del

Estado”

o

diario

oficial

correspondiente”. El Ayuntamiento ha incurrido en la infracción descrita al no informar a los usuarios del “ Ecoparque” de los extremos previstos en el artículo 5 de la LOPD. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos, RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE TOTANA, ha infringido lo dispuesto en el artículo 20 de la LOPD, tipificada como grave en el artículo 44.3.a) de de la citada Ley Orgánica. SEGUNDO: DECLARAR que el AYUNTAMIENTO DE TOTANA, ha infringido lo dispuesto en el artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de de la citada Ley Orgánica TERCERO: REQUERIR al AYUNTAMIENTO DE TOTANA, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción a los artículos 20 y 5 de la LOPD Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 381 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

de Datos, de acuerdo con el artículo 46.3 de la LOPD. CUARTO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE TOTANA, en Plaza de la Constitución s/n - 30850 (Murcia), y a D. R.R.R. con domicilio en (C/…………………………….) QUINTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 382 de 609

PROCEDIMIENTOS SANCIONADORES – URBANISMO Agencia Española de Protección de Datos.

de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 31 de julio de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 383 de 609

VI) PADRÓN DE HABITANTES

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 384 de 609

A) INFORMES JURÍDICOS CENSO DE POBLACIÓN DE LAS ADMINISTRACIONES PÚBLICAS Y CESIONES DE DATOS DEL PADRÓN - AÑO 2001 ............................................................................................................. 386 ACCESO A LOS DATOS DEL PADRÓN DE LOS AÑOS 1910 Y 1911 A EFECTOS DE INVESTIGACIÓN............................................................................................................................. 389 IMPROCEDENCIA CESIÓN DE DATOS PADRÓN A CONSULADO EXTRANJERO ................... 393 ACCESO AL PADRÓN POR LAS FUERZAS Y CUERPOS DE SEGURIDAD. ............................. 395 POSIBILIDAD DE USAR LOS DATOS PADRONALES DE UN AYUNTAMIENTO PARA REMITIR ESCRITO A LOS PROPIETARIOS DE VIVIENDAS VACIAS DEL MUNICIPIO Y SU POSTERIOR CESIÓN AL GOBIERNO VASCO ................................................................................................... 404 CESIÓN DE DATOS DEL PADRÓN A OTRAS ÁREAS DEL PROPIO AYUNTAMIENTO ............ 415 CESIÓN DE DATOS DEL PADRÓN ENTRE DIFERENTES ADMINISTRACIONES. .................... 423 CESIÓN DE DATOS PADRONALES A UN DEPARTAMENTO DEL GOBIERNO VASCO PARA SU POSTERIOR CESIÓN A UNA ENTIDAD PRIVADA....................................................................... 427

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 385 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

CENSO DE POBLACIÓN DE LAS ADMINISTRACIONES PÚBLICAS Y CESIONES DE DATOS DEL PADRÓN - AÑO 2001 La Disposición Adicional Segunda de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, regula los registros de población de las Administraciones Públicas constituidos a partir de datos proporcionados por el Instituto Nacional de Estadística. La Agencia Española de Protección de Datos dictaminó en el año 2001 en relación con esta transmisión por parte del Instituto Nacional de Estadística de copia de los datos contenidos en el Padrón Municipal de Habitantes a determinados organismos, de conformidad con lo previsto en la Disposición Final Segunda de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, cuyo tenor literal indica: "1. La Administración General del Estado y las Administraciones de las Comunidades Autónomas podrán solicitar al Instituto Nacional de Estadística, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en los padrones municipales de habitantes y en el censo electoral correspondientes a los territorios donde ejerzan sus competencias, para la creación de ficheros o registros de población. 2. Los ficheros o registros de población tendrán como finalidad la comunicación de los distintos órganos de cada administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico administrativas

derivadas

de

las

competencias

respectivas

de

las

Administraciones Públicas". De lo establecido en esta Disposición se desprende que la cesión solicitada será posible, siempre y cuando se cumplan los siguientes requisitos: 1.-Que la cesión sea solicitada por órganos integrados en la Administración General de Estado o las Administraciones de las Comunidades Autónomas. 2.-Que dicha cesión se limite a los datos de nombre, apellidos, domicilio, sexo y expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 386 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

fecha de nacimiento que habrán de constar en los padrones de habitantes y en el censo electoral. 3.-Que los datos se limitarán, desde el punto de vista territorial, al ámbito en que el solicitante ejerza su competencia. 4.-Que los datos deberán ser utilizados por el cesionario con la única finalidad de la creación de ficheros o registros de población, que permitirán la comunicación de los órganos de cada Administración Pública con los interesados residentes en sus respectivos territorios, respecto de las relaciones jurídico administrativas derivadas de sus competencias. Cuando sea procedente y se verifique la cesión de datos por el INE para la creación de tal registro de población, será preciso que la Administración Pública responsable del mismo proceda a la aprobación de la correspondiente norma de creación del fichero y notificar el mismo al Registro General de Protección de Datos. Frente a la considerada, se producen otras peticiones de datos al INE por parte de órganos administrativos, que son solicitudes parciales de datos que, si bien se fundan en el ejercicio de funciones administrativas, no tienen como finalidad la creación de un específico registro general, en los términos previstos por la citada Disposición. En este sentido, de lo establecido en el apartado 2 de la Disposición Adicional, en conexión con el apartado 1 parece desprenderse que la cesión a la que aquella se refiere debería efectuarse en virtud de una única solicitud, efectuada por el órgano competente en cada Administración Pública, fundada en la creación de un único registro que sería accesible por los distintos órganos integrados en cada Administración, dentro del ámbito territorial de su actividad. Por ello, para resolver estos otros supuestos de cesión de datos para posibilitar el ejercicio de funciones administrativas particularizadas, debe analizarse la procedencia de los mismos considerando las Disposiciones reguladoras del Padrón Municipal de Habitantes, contenidas en la Ley Reguladora de las Bases del Régimen Local.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 387 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

Cuando estas cesiones particularizadas se solicitan del INE y no de entidades locales, resultará esencial atender a lo dispuesto en el último párrafo del artículo 17.3 de la citada Ley, según el cual "el Instituto Nacional de Estadística

podrá

remitir

a

las

Comunidades

Autónomas

y

a

otras

Administraciones Públicas los datos de los distintos Padrones en las mismas condiciones señaladas en el artículo 16.3 de esta Ley". Por su parte, el mencionado artículo 16.3 prescribe que "Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública. Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común". Tomando en consideración lo establecido en el citado precepto, será procedente dicha cesión particularizada cuando la misma se solicite por órganos administrativos para el ejercicio de competencias legales y se cumpla los requisitos analizados.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 388 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

ACCESO A LOS DATOS DEL PADRÓN DE LOS AÑOS 1910 Y 1911 A EFECTOS DE INVESTIGACIÓN. La consulta plantea si un particular puede acceder a Archivos Locales a los efectos de efectuar investigaciones, sin vulnerar la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. En primer lugar es preciso señalar que, la consulta de dichos datos supondrá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como "toda revelación de datos realizada a una persona distinta del interesado". Con carácter general, la cesión o comunicación de datos de carácter personal viene regulada en el artículo 11.1 de la Ley Orgánica al establecer que "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado." El consentimiento deberá ser otorgado con carácter previo a la cesión y suficientemente informado de la finalidad a la que se destinen los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quién se pretende comunicar (artículo 11.3), y que debe recabar el cedente como responsable del fichero que contiene los datos que se pretenden ceder. La obligación de consentimiento sólo se verá exceptuada en los supuestos enumerados en el artículo 11.2, cuyo apartado a) se refiere al caso en que exista una norma con rango de Ley habilitante de la cesión.

Por ello,

deberá determinarse si la legislación reguladora de los ficheros a los que la consulta se refiere permite esa transmisión de sus datos. A mayor abundamiento es preciso tener en cuenta lo dispuesto en el artículo 9 del Real Decreto 1720/2007, de 21 de diciembre por el que se desarrolla la Ley Orgánica 15/1999, donde regula el tratamiento con fines estadísticos, históricos o científicos, estableciendo que “1. No se considerará incompatible, a los efectos previstos en el apartado 3 del artículo anterior, el tratamiento de los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 389 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

datos de carácter personal con fines históricos, estadísticos o científicos. Para la determinación de los fines a los que se refiere el párrafo anterior se estará a la legislación que en cada caso resulte aplicable y, en particular, a lo dispuesto en la Ley 12/1989, de 9 de mayo, Reguladora de la función estadística pública, la Ley 16/1985, de 25 junio, del Patrimonio histórico español y la Ley 13/1986, de 14 de abril de Fomento y coordinación general de la investigación científica y técnica, y sus respectivas disposiciones de desarrollo, así como a la normativa autonómica en estas materias (..)” Considerando que se trata de datos procedentes de Archivos Locales por tanto de Padrones Municipales de Habitantes y siendo el Padrón un fichero de titularidad pública, debe partirse, con carácter general, del principio de delimitación de la finalidad en las cesiones entre Administraciones Publicas consagrado por el artículo 21 de la Ley Orgánica 15/1999,

al exigir que si los

datos son cedidos a otras Administraciones Publicas sirvan sólo para el ejercicio de competencias iguales o que versen sobre materias semejantes, con la única excepción, tras la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, de que el cambio de finalidad esté fundado en una de las causas contenidas en el artículo 11 de la propia Ley Orgánica, pudiendo ser sustituida la necesidad del consentimiento para el cambio de finalidad por una previsión realizada en una disposición con rango de Ley (art.11.2 a). Pues bien, tratándose de documentos públicos u oficiales, como el censo de población, cuando haya concluido el procedimiento administrativo en que se generaron o utilizaron, y habiéndose producido el archivo administrativo de los documentos, pasarán estos, a formar parte del Patrimonio Documental Español. Debe señalarse que el artículo 49. 2 de la

de la Ley 16/1985, de 25 de

junio, reguladora del Patrimonio Histórico Español establece que "Forman parte del Patrimonio Documental los documentos de cualquier época

generados,

conservados o reunidos en el ejercicio de su función por cualquier organismo o entidad de carácter público, por las personas jurídicas en cuyo capital participe mayoritariamente el Estado u otras entidades públicas y por las personas privadas, físicas o jurídicas, gestoras de servicios públicos en lo relacionado con la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 390 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

gestión de dichos servicios". A su vez, el artículo 57. 1 de la misma norma señala que

"La consulta de

los documentos constitutivos del Patrimonio documental Español a que se refiere el artículo 49. 2 se atendrá a las policial, procesal, clínico, o de cualquier otra índole que puedan afectar a la seguridad de las personas, a su honor, a la intimidad de su vida privada y familiar y a su propia imagen,

no podrán ser

públicamente consultados sin que medie consentimiento expreso de los afectados o hasta que haya transcurrido un plazo de 25 años desde su muerte si su fecha es conocida o, en otro caso, de 50 años a partir de la fecha de los documentos". Con carácter general debe señalarse que la aplicación de este artículo implica estar, en primer lugar, a la fecha de fallecimiento del titular de los datos cuando esta sea conocida. Es evidente que tratándose de un Padrón municipal, será posible, en la gran mayoría de los casos, determinar o acceder a la fecha de fallecimiento de las personas empadronadas, por lo que no sería aplicable el criterio subsidiario de que hayan transcurrido 50 años desde la fecha de los documentos para el acceso a los mismos sino en aquellos casos en que sea imposible determinar el fallecimiento. A la vista de los preceptos citados, y siempre que se cumplan los requisitos de plazo que los mismos establecen, sería posible la consulta solicitada, en la forma que determinen las normas reguladoras del acceso a los Registros y Archivos que los custodien. Debe indicarse, además, que en lo referente al padrón municipal de habitantes, el artículo 16.3 de la Ley reguladora de las Bases del Régimen Local, redactado conforme a lo establecido en la Ley Orgánica 14/2003, de 20 de noviembre, establece que "los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 391 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia".

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 392 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

IMPROCEDENCIA CESIÓN DE DATOS PADRÓN A CONSULADO EXTRANJERO La consulta plantea la adecuación a la a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, de la cesión de datos del Padrón municipal de habitantes de la población consultante que solicita el Consulado del Ecuador en Málaga, correspondientes al nombre, apellidos y domicilio de los ciudadanos ecuatorianos que se encuentren empadronados en dicho Ayuntamiento. La cuestión planteada ya ha sido objeto de estudio en diversos informes de esta Agencia, siendo el criterio seguido el que a continuación se expone: El Padrón municipal de habitantes es un registro de carácter administrativo que se encuentra regulado por la Ley 7/1985, de 2 de abril, de Bases del Régimen Local, cuyo artículo 16 proclama que establece en su apartado primero que “El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos”. Respecto a la cesión de los datos en él contenidos, el mismo artículo en su apartado tercero recoge los principios que rigen la transmisión y utilización de los datos del Padrón Municipal, al disponer que ” Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia.” En relación con este precepto, la Agencia de Protección de Datos ha considerado que la expresión «datos del Padrón municipal» que se emplea en expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 393 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

este artículo 16.3 de la LBRL se refiere únicamente a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón municipal: la determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio. Por ello, cualquier cesión de los datos del Padrón deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer el dato del domicilio de la persona afectada, dado que del artículo 4.2 de la LOPD se deriva la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba. Fuera de los supuestos contemplados en dicho artículo 16. 3 de la LBRL, que no resulta aplicable al supuesto examinado, debe tenerse en cuenta lo establecido en la Ley Orgánica 15/1999, debe señalarse con carácter general, que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. El apartado segundo del mismo artículo establece una serie de supuestos donde se excepción la regla anterior, estableciendo casos en que la cesión de datos personales puede llevarse a cabo sin el consentimiento de los afectados, destacando entre tales supuestos el que una norma con rango legal habilite la cesión. Considerando ya el supuesto de cesión objeto de la presente consulta, donde la comunicación de los datos del Padrón se realizaría a la representación diplomática de un estado extranjero, la misma no tiene encaje en ninguno de los supuestos aludidos del artículo 11. 2 de la LOPD, por lo que partiendo del carácter confidencial de esos datos padronales (fuera de los supuestos del articulo 16. 3 de la LBRL), cabe concluir que conforme a la Ley Orgánica de Protección de Datos Personales, no es posible atender la petición efectuada al Ayuntamiento consultante. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 394 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

ACCESO AL PADRÓN POR LAS FUERZAS Y CUERPOS DE SEGURIDAD. I La consulta plantea diversas cuestiones derivadas de la reforma operada en la Ley Reguladora de las Bases del Régimen Local como consecuencia de la aprobación de la Ley Orgánica 14/2003, de 20 de noviembre, e reforma de la Ley Orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España y su integración social. Tal y como se indica en la consulta, la mencionada Ley Orgánica 14/2003 introduce determinadas reformas en las normas reguladoras del Padrón Municipal de habitantes previstas en la Ley de Bases del Régimen Local, incidiendo especialmente en la actividad del Organismo consultante lo establecido en los artículos 16 y 17 de la misma. II En cuanto a la modificación del artículo 16.3, señala el precepto en su nueva redacción que “Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia”. Como se indica en la consulta, la reforma viene a suprimir el segundo párrafo del artículo 16.3, que suponía una remisión de las normas reguladoras del Padrón Municipal de Habitantes a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aparte de añadir una referencia a la cesión de datos del Padrón en los supuestos previstos en “las

leyes de

estadística de las comunidades autónomas con competencia en la materia”. El hecho de que se haya suprimido este segundo párrafo no influye, sin expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 395 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

embargo en el régimen vigente hasta la entrada en vigor de la Ley Orgánica en lo referente a la cesión de datos contenidos en el Padrón Municipal de Habitantes. En efecto, el artículo 2 de la Ley Orgánica establece su ámbito de aplicación, disponiendo el párrafo primero del artículo 2.1 que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”. Por

su

parte,

los

apartados

2

y

3

del

artículo

2

establecen,

respectivamente, los supuestos en que no será de aplicación lo dispuesto en la Ley Orgánica o sus previsiones sólo será aplicables “en su caso”, no encontrándose el Padrón Municipal en ninguno de los dos supuestos, por lo que el mismo queda sujeto a lo establecido en la Ley Orgánica 15/1999. Por este motivo, será de aplicación a las cesiones de datos contenidos en el Padrón lo establecido en el artículo 11, según cuyos apartados 1 y 2: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 396 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”. De este modo, será lícita la comunicación de datos del Padrón sin consentimiento del interesado cuando la misma se encuentre fundada en alguno de los supuestos previstos en el mencionado artículo 11.2, entre los cuales, el artículo 11.2 a) dispone la licitud de la cesión cuando la misma se encuentre habilitada por una norma con rango de Ley, tal y como sucede en el supuesto contemplado en el artículo 16.3 de la Ley reguladora de las bases del Régimen Local. En consecuencia, la reforma operada por la Ley Orgánica 14/2003 no afecta al régimen establecido con anterioridad en cuanto a la licitud o ilicitud de las cesiones de datos contenidas en el Padrón Municipal de habitantes, de modo que serán lícitas las cesiones a las que se refiere el artículo 16.3 de la Ley reguladora de las Bases del Régimen Local, en la interpretación que se ha venido efectuando por esta Agencia Española de Protección de Datos, sobradamente conocida por ese Organismo, así como las que se funden en los supuestos previstos en el artículo 11.2 de la Ley Orgánica 15/1999. III

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 397 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

En relación con la reforma del artículo 17.3 de la Ley 7/1985, dicho precepto dispone en la actualidad, tras la entrada en vigor de la Ley Orgánica 14/2003, en su último párrafo que “El Instituto Nacional de Estadística remitirá trimestralmente a los Institutos estadísticos de las comunidades autónomas u órganos competentes en la materia, y en su caso, a otras Administraciones públicas los datos relativos a los Padrones en los municipios de su ámbito territorial en los que se produzcan altas o bajas de extranjeros en las mismas condiciones señaladas en el artículo 16.3 de esta Ley”. Este precepto sustituye al ahora derogado anterior último párrafo del artículo 17.3 de la Ley 7/1985, que preveía la posibilidad de cesión por el Organismo

consultante

“a

las

Comunidades

Autónomas

y

a

otras

Administraciones Públicas (de) los datos de los distintos Padrones en las mismas condiciones señaladas en el artículo 16.3 de esta Ley”. Desaparecida esta previsión normativa, la comunicación de datos a las Administraciones Públicas queda limitada en cuanto a su régimen jurídico a lo que prevé el ya transcrito artículo 16.3 de la Ley 7/1985, que habilita la cesión de los datos de la residencia o domicilio de los vecinos cuando los mismos sean necesarios para el ejercicio por la cesionaria de sus competencias en los supuestos en que dichos datos de residencia y domicilio resulten relevantes para ese ejercicio. Al propio tiempo, debe recordarse que, según dispone el apartado 1 de la Disposición adicional segunda de la Ley Orgánica 15/1999, “La Administración General del Estado y las Administraciones de las Comunidades Autónomas podrán solicitar al Instituto Nacional de Estadística, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en los Padrones Municipales de habitantes y en el censo electoral correspondientes a los territorios donde ejerzan sus competencias, para la creación de ficheros o registros de población”. En consecuencia, en cuanto a la cuestión referente a si sigue siendo posible la comunicación por el Instituto Nacional de Estadística de los datos expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 398 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

contenidos en el Padrón Municipal de Habitantes a otras Administraciones Públicas, Sin perjuicio de lo que posteriormente se indicará, ha de concluirse que la misma sería posible en los términos previstos en el artículo 16.3 de la Ley 7/1985 y en la Disposición adicional segunda de la Ley Orgánica 15/1999. No obstante, en lo referente a la comunicación de los datos referidos a las altas y bajas de extranjeros y su cesión a “las Comunidades Autónomas u órganos competentes en la materia y, en su caso, a otras Administraciones Públicas”, procedería en todo caso la cesión de los datos de la residencia o domicilio de los afectados, en virtud de lo establecido en el último párrafo del artículo 17.3 de la Ley 7/1985, en su actual redacción, quedando esta comunicación de datos amparada por lo establecido en el artículo 11.2 a) de la Ley Orgánica 15/1999. IV Por último, se plantean diversas cuestiones relacionadas con la aplicación de la Disposición adicional séptima de la Ley 7/1985 y la Disposición adicional quinta de la Ley 4/2000, ambas introducidas por la Ley Orgánica 14/2003. La primera de las disposiciones mencionadas habilita el acceso por parte de la Dirección General de la Policía a los datos contenidos en el Padrón, indicando en su párrafo primero que “Para la exclusiva finalidad del ejercicio de las competencias establecidas en la Ley Orgánica de Derechos y Libertades de los Extranjeros en España y su Integración Social, sobre control y permanencia de extranjeros en España, la Dirección General de la Policía accederá a los datos de inscripción Padronal de los extranjeros existentes en los Padrones Municipales, preferentemente por vía telemática”. Por su parte, la Disposición adicional quinta de la Ley Orgánica 4/2000, en su actual redacción, dispone, en su apartado 1, que “En el cumplimiento de los fines que tienen encomendadas, y con pleno respeto a la legalidad vigente, las Administraciones públicas, dentro de su ámbito competencial, colaborarán en la cesión de datos relativos a las personas que sean consideradas interesados en los procedimientos regulados en esta Ley Orgánica y sus normas de desarrollo”.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 399 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

Al propio tiempo, el apartado 2 de la mencionada disposición aclara los términos del apartado precedente en cuanto a las obligaciones impuestas, señalando que “Para la exclusiva finalidad de cumplimentar las actuaciones que los órganos de la Administración General del Estado competentes en los procedimientos regulados en esta Ley Orgánica y sus normas de desarrollo tienen encomendadas, la Agencia Estatal de Administración Tributaria, la Tesorería General de la Seguridad Social y el Instituto Nacional de Estadística, este último en lo relativo al Padrón Municipal de Habitantes, facilitarán a aquéllos el acceso directo a los ficheros en los que obren datos que hayan de constar en dichos expedientes, y sin que sea preciso el consentimiento de los interesados, de acuerdo con la legislación sobre protección de datos”. Dicho lo anterior, las previsiones contenidas en los preceptos transcritos no han de ser consideradas como referidas a un mismo supuesto, relacionado con el acceso a los datos del Padrón por parte de las Fuerzas y Cuerpos de Seguridad, habida cuenta que únicamente la disposición adicional séptima de la Ley 7/1985 hace referencia a este supuesto, viniendo referida la disposición adicional quinta de la Ley Orgánica 4/2000 a las Administraciones Públicas que se encuentren tramitando un determinado expediente. De este modo, a nuestro juicio, la referencia efectuada por la Disposición Adicional quinta de la Ley Orgánica 14/2003 habilita el acceso, no sólo por las Fuerzas y Cuerpos de Seguridad, sino por la Administración que, en cada caso, resulte habilitada para la tramitación de los expedientes previstos en la legislación sobre derechos de los extranjeros en España a obtener del Instituto Nacional de Estadística, al que se refiere en exclusiva la Ley Orgánica 14/2003, que no hace mención de los Ayuntamientos, los datos que resulten precisos para la tramitación de un expediente determinado, tratándose así de un acceso específico en cada caso y no de un acceso masivo. En consecuencia, la mencionada Disposición adicional quinta no será sino una particularización para el caso concreto de expedientes tramitados con arreglo a lo dispuesto en la Ley Orgánica 4/2000 de la previsión contenida en el artículo 16.3 de la Ley reguladora de las Bases del Régimen Local, de forma que habrán de facilitarse a la Administración competente los datos contenidos en el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 400 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

padrón a los que se refiere este precepto, ampliados en este caso con los “que hayan de constar en dichos expedientes”. Por su parte, la Disposición adicional séptima de la Ley de Bases del Régimen Local prevé una posibilidad diferenciada de acceso al padrón, claramente delimitada por la naturaleza del cesionario (la Dirección General de la Policía), la finalidad que justifica el acceso (el ejercicio por la misma de las competencias específicamente atribuidas por la legislación sobre extranjería) y el alcance de los datos que podrán ser objeto de cesión (exclusivamente los referidos a la inscripción Padronal de los extranjeros existente en los Padrones Municipales). La propia Disposición viene a incorporar una medida adicional de seguridad, respecto de las exigibles al Padrón Municipal de Habitantes por el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio, al dispone, en su párrafo segundo que “A fin de asegurar el estricto cumplimiento de la legislación de protección de datos de carácter personal, los accesos se realizarán con las máximas medidas de seguridad. A estos efectos, quedará constancia en la Dirección General de la Policía de cada acceso, la identificación de usuario, fecha y hora en que se realizó, así como de los datos consultados”. El fundamento de esta medida es el de garantizar que el acceso que se produzca a la información contenida en el padrón Municipal de habitantes por parte de la Dirección General de la Policía se ajuste precisamente a la finalidad indicada,

suponiendo

asimismo

que

no

será

preciso,

en

principio,

el

establecimiento de un sistema de validación previo al acceso por parte del Instituto nacional de Estadística, salvo en lo relativo a los afectados a cuyos datos podrá entenderse habilitado legalmente el acceso, esto es a los referidos a los extranjeros que consten en el Padrón Municipal. Por ello, del tenor de la Disposición que se ha venido citando, parece desprenderse que, a diferencia del acceso al que se refiere la Ley Orgánica 14/2003 en su Disposición adicional quinta, el acceso previsto en la Disposición adicional séptima de la Ley reguladora de las Bases del Régimen Local, en su expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 401 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

nueva redacción, permite un acceso por la Dirección General de la Policía a la totalidad de los datos a los que la misma se refiere, sin que sea preciso, en principio, un previo análisis de la solicitud efectuada, quedando por otra parte garantizada la posibilidad de analizar si en cada caso concreto el acceso tenía amparo en lo establecido en la Ley mediante el control de los accesos que deberán ser objeto de almacenamiento en la propia Dirección General de la Policía. Por último, en cuanto a la conformidad de dicha medida con lo establecido en las normas reguladoras del derecho fundamental a la protección de datos, ha de considerarse que la misma resulta una medida de seguridad adicional a las impuestas por el Real Decreto 994/1999. De este modo, junto con las medidas que la Ley impone a los Ayuntamientos y al propio Instituto Nacional de Estadística en su condición de responsables del fichero “Padrón Municipal de Habitantes”, deberá implantarse en el caso concreto objeto de desarrollo por la nueva Disposición adicional séptima de la Ley de Bases del Régimen Local una medida añadida por parte del Órgano al que la Ley viene a legitimar el acceso al Padrón Municipal, medida que habrá de implantarse sin perjuicio de las que impone el Reglamento, de forma que si procediera, con arreglo al mismo, el establecimiento por el responsable del tratamiento del registro de accesos al que se refiere el artículo 24 del Reglamento, éste debería implantarse sin perjuicio de esta nueva obligación adicional. V A la vista de todo lo indicado, y teniendo en cuenta las cuestiones planteadas en la consulta, cabe referir las siguientes conclusiones: PRIMERA: La reforma operada en el artículo 16.3 de la Ley reguladora de las Bases del Régimen Local por la Ley Orgánica 14/2003 no introduce ninguna modificación en la interpretación que hasta ahora ha venido realizándose del mismo por esta Agencia Española de Protección de Datos. SEGUNDA: La reforma operada en el artículo 17.3 tampoco viene a introducir modificaciones

en

la

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

posibilidad

de

comunicación

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

de

datos

a

otras

Página 402 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Española de Protección de Datos.

Administraciones Públicas, amparada en el artículo 16.3 de la Ley, sin perjuicio de que la misma venga a imponer expresamente la obligación de remisión de los datos que se establecen en el propio artículo 17.3. TERCERA: En cuanto a las cuestiones planteadas en el apartado 3 de la consulta, cabe señalar lo siguiente: - La disposición adicional quinta de la Ley 14/2003 y la nueva disposición adicional séptima de la Ley reguladora de las Bases del Régimen Local se refieren a supuestos diferenciados. - De este modo, las cesiones amparadas en la disposición adicional séptima de la Ley Orgánica 14/2003 deberán producirse caso por caso y con el alcance necesario para la constancia de los datos objeto de la cesión en el expediente correspondiente. - Por el contrario la disposición adicional séptima de la Ley de Bases del Régimen Local permite el acceso de la Dirección General de la Policía a los datos que la misma establece, quedando constancia de la adecuación de dicho acceso a las finalidades descritas en la disposición mediante la adopción de la medida específica prevista en el párrafo segundo de la disposición. - Esta medida no resulta contraria al Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio, sino complementaria de las que, en todo caso, deberá implantar el responsable del fichero de conformidad con lo establecido en el propio Reglamento.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 403 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

POSIBILIDAD DE USAR LOS DATOS PADRONALES DE UN AYUNTAMIENTO PARA REMITIR ESCRITO A LOS PROPIETARIOS DE VIVIENDAS VACIAS DEL MUNICIPIO Y SU POSTERIOR CESIÓN AL GOBIERNO VASCO INFORME JURÍDICO QUE SE EMITE EN RELACIÓN A LA CONSULTA REALIZADA POR … DE AMOREBIERA-ETXANO SOBRE “POSIBILIDAD DE UTILIZAR LOS DATOS DEL PADRÓN MUNICIPAL PARA DIRIGIR UN ESCRITO A CADA UNO DE LOS PROPIETARIOS DE VIVIENDAS DESOCUPADAS DEL MUNICIPIO PARA SABER SI ESTAN INTERESADOS EN ARRENDAR SUS VIVIENDAS Y UNA VEZ CONOCIDAS LAS RESPUESTAS PODER CEDER DATOS AL GOBIERNO VASCO” ANTECEDENTES Con fecha 21 de octubre de 2005 tiene entrada en esta Agencia Vasca de Protección de Datos, escrito del … del Ayuntamiento de Amorebieta-Etxano en la que se eleva consulta en relación al asunto más arriba referenciado. En el escrito de remisión de la consulta se dice que: El Departamento de vivienda y Asuntos Sociales del gobierno Vasco presta un servicio denominado BIZIGUNE por el que se facilita el alquiler de viviendas de propiedad privada a particulares. A través de este servicio se facilita al arrendador el cobro del arrendamiento y el no deterioro de su vivienda. Al arrendatario, le permite acceder a una vivienda por un precio asequible e incluso puede obtener créditos a bajo interés para su arreglo. Para que este servicio se pueda realizar, es preciso disponer de un censo de viviendas desocupadas en el municipio y conocer, si sus propietarios están dispuestos a arrendarlas en las condiciones que el Gobierno tiene establecidas. Esto se podría facilitar en gran medida, si desde el Ayuntamiento se suministrara al Gobierno Vasco un listado de viviendas en condiciones de ser alquiladas. El Ayuntamiento, a través del Padrón de Habitantes conoce las viviendas que en la actualidad se encuentran desocupadas en este municipio. El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 404 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las Administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta ley” Corresponde a esta Agencia Vasca de Protección de datos en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I La consulta elevada plantea en realidad la adecuación a la normativa sobre protección de datos de carácter personal de una doble y sucesiva actuación del propio Ayuntamiento. Por una parte, la posibilidad de, utilizando los datos padronales, dirigirse a los propietarios de viviendas desocupadas para saber si están interesados en arrendar sus viviendas. De otra, la posibilidad de ceder los datos así obtenidos al Departamento de Vivienda y Asuntos Sociales del Gobierno Vasco. Evidentemente, la primera actuación es condición para el análisis de la segunda, por lo que debe iniciarse por examinar la posibilidad de la misma. II Suponiendo la actuación sobre la que gira la consulta una utilización de dichos datos padronales, son dos las cuestiones que deben tenerse en cuenta. En primer lugar el régimen jurídico al que se encuentra sometido el padrón expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 405 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

municipal, y en segundo, los principios a los que se encuentra sometido el tratamiento de los datos de carácter personal contenidos en el padrón. Desde

la

primera

vertiente,

dicho

régimen

jurídico

se

contiene,

básicamente, en los artículos 15, 16 y 17 de la Ley de Bases de Régimen Local, en la redacción dada por las Leyes 4/1996, de 10 de enero, de modificación de la LBRL en esta materia y en la Ley Orgánica 14/2003, de 20 de noviembre de Extranjería Interesa destacar, a los efectos del presente Dictamen, el artículo 16, a cuyo tenor: “1. El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos. La inscripción en el Padrón Municipal sólo surtirá efecto de conformidad con lo dispuesto en el artículo 15 de esta Ley por el tiempo que subsista el hecho que la motivó y, en todo caso, deberá ser objeto de renovación periódica cada dos años cuando se trate de la inscripción de extranjeros no comunitarios sin autorización de residencia permanente. El transcurso del plazo señalado en el párrafo anterior será causa para acordar la caducidad de las inscripciones que deban ser objeto de renovación periódica, siempre que el interesado no hubiese procedido a tal renovación. En este caso, la caducidad podrá declararse sin necesidad de audiencia previa del interesado. 2. La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes datos: a) Nombre y apellidos. b) Sexo. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 406 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

c) Domicilio habitual. d) Nacionalidad. e) Lugar y fecha de nacimiento. f) Número de documento nacional de identidad o tratándose de extranjeros: Número de la tarjeta de residencia en vigor, expedida por las autoridades españolas o, en su defecto, número del documento acreditativo de la identidad o del pasaporte en vigor expedido por las autoridades del país de procedencia, tratándose de ciudadanos nacionales de estados miembros de la Unión Europea, de otros Estados parte en el Acuerdo sobre el Espacio Económico Europeo o de Estados a los que, en virtud de un convenio internacional se extienda el régimen jurídico previsto para los ciudadanos de los Estados mencionados. Número de identificación de extranjero que conste en documento, en vigor, expedido por las autoridades españolas o, en su defecto, por no ser titulares de éstos, el número del pasaporte en vigor expedido por las autoridades del país de procedencia, tratándose de ciudadanos nacionales de Estados no comprendidos en el inciso anterior de este párrafo g) Certificado o título escolar o académico que se posea. g) Certificado o título escolar o académico que se posea h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral, siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución. 3. Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para

el ejercicio de sus respectivas competencias, y

exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 407 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

Dicha norma encuentra su desarrollo directo a través del Real Decreto 2612/1996, de 20 de diciembre, por el que se modifica el Reglamento de Población y Demarcación Territorial de las Entidades Locales aprobado por Real Decreto 1690/1986, un régimen jurídico detallado: De la misma manera, los apartados primero y segundo del artículo 17 establecen “La gestión del Padrón municipal se llevará por los Ayuntamientos con medios informáticos. Las Diputaciones Provinciales, Cabildos y Consejos insulares asumirán la gestión informatizada de los Padrones de los municipios que, por su insuficiente capacidad económica y de gestión, no puedan mantener los datos de forma automatizada. Los Ayuntamientos realizarán las actuaciones y operaciones necesarias para mantener actualizados sus Padrones de modo que los datos contenidos en éstos concuerden con la realidad.” III La segunda perspectiva obliga a tener en cuenta los dos primeros apartados del artículo 4 de la LOPD, a cuyo tenor: “1. Los datos de carácter personal sólo se podrán recoger para su tratamiento así como someterlos a dicho tratamiento cuando sean adecuados pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerarán incompatibles el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.” Es ya constante y consolidada, la doctrina de otras Agencias de Protección de Datos en relación a la interpretación de la que, desde la perspectiva del derecho fundamental a la protección de datos de carácter personal, debe ser objeto dicho régimen jurídico. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 408 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

Así, la Agencia Española de Protección de Datos, en diferentes informes y resoluciones, ha dejado dicho que “De la LBRL se deduce que la finalidad para la que sirven los datos del Padrón Municipal es la constitución de la población del municipio, la adquisición de la condición de vecino y la acreditación de la residencia en el municipio y del domicilio habitual del mismo. Para la efectividad del cumplimiento de estas finalidades se establece la obligación de inscripción en el Padrón municipal por parte de quien resida habitualmente en el municipio respectivo, lo que supone una excepción al principio básico de la necesidad del consentimiento del ciudadano para la legalidad del tratamiento de sus datos, contenido en el artículo 6.1 de la LOPD. Esta excepción se funda en lo establecido en el artículo 6.2 que permite el tratamiento inconsentido de los datos por parte de las Administraciones Públicas "para el ejercicio de sus funciones... en el ámbito de sus competencias". Básicamente la misma doctrina se contiene en la Recomendación 1/2004, de 14 de abril de la Agencia de Protección de Datos de la Comunidad de Madrid sobre tratamiento y utilización de los datos del padrón municipal. La jurisprudencia de diferentes órganos judiciales por otra parte, ha considerado acertada la doctrina más arriba referenciada. Así, la Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 21 de Abril de 2004 a cuyo tenor “… se conciben los ficheros o registros de población, entre los que cabe incluir al padrón municipal, como un elemento de comunicación entre los distintos órganos de las Administraciones públicas y de los ciudadanos, y que su uso vendrá determinado en el cumplimiento de las competencias que por el ordenamiento jurídico le viene atribuido …así las cosas, no puede mantenerse que la utilización por el Alcalde de Sabadell de unos datos obtenidos del padrón municipal para remitir las cartas a los vecinos nacidos en Lorca haya vulnerado el art. 4.2 LOPD porque dichos datos no se utilizaron para una finalidad incompatible con aquellas para las que los datos hubieran sido recogidos sino precisamente para el ejercicio de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 409 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

una competencias municipales como son las de integración social que alcanza especial relevancia en territorios con alto índice de población originaria de otras zonas del territorio nacional que un buen día se vieron obligados a dejar su tierra en busca de mejores condiciones de vida. Pues bien, esa actividad pública municipal encaminada a cultivar los lazos de unción entre los pueblos, a que no se produzcan una pérdida de su identidad, evitando su desarraigo a las siguientes generaciones entra dentro de las funciones competenciales que el ordenamiento jurídico atribuye a los municipios y en ningún caso puede considerarse que los hechos imputados son constitutivos de la infracción del artículo 4 LOPD” En el mismo sentido la muy reciente Sentencia 193/2005, de 26 de julio de 2005, del Juzgado de lo Contencioso-Administrativo nº 8 de Madrid, ”… y lo cierto es que el Padrón Municipal no está previsto que pueda ser utilizado por el Alcalde Presidente para comunicarse con los vecinos en los términos acreditados para dirigirles cartas de felicitación navideña y por tanto tal finalidad no resulta compatible con el usos principal del padrón municipal, pues nada tiene que ver con las finalidades previstas de la competencia municipal que se recoge en el artículo 25 de la LBRL ni se corresponden con los servicios propios de la competencia municipal prevista en el artículo 26 … lo que revela que excede de las finalidades del Fichero Municipal que tiene dicho Ayuntamiento para otras finalidades a que se alude en el artículo 15 y 16 LBRL y que revela que se ha apartado del principio de finalidad del Fichero Padrón Municipal de Habitantes” IV La conclusión que, razonablemente cabe extraer de cuanto se lleva dicho es que la utilización de los datos del Padrón Municipal por parte del propio Ayuntamiento debe respetar el principio de compatibilidad de finalidades contemplado en el artículo 4 de la LOPD y la verificación del cumplimiento de dicho principio está ligado o conectado en cualquier caso al legítimo ejercicio de una competencia que a dicho Ayuntamiento venga atribuida por los artículos 25 y 26 de la LBRL.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 410 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

Fuera de dichos supuestos el tratamiento de los datos precisará de una habilitación legal o del consentimiento de sus titulares, siendo de aplicación, en su caso, las excepciones previstas en el artículo 6.2 de la propia LOPD. No resta sino aplicar la anterior doctrina al supuesto que nos ocupa, lo cual exige verificar si la actuación sometida a consulta encuentra encaje, en primer lugar, en la propia LBRL. A juicio de esta Agencia, la cobertura legal vendría dada por el artículo 25.2 d) de la LBRL, en cuya virtud corresponde al Ayuntamiento “Ordenación, gestión, ejecución y disciplina urbanística; promoción y gestión de viviendas; parques y jardines; pavimentación de vías públicas urbanas y conservación de caminos y vías rurales.” Desde dicha perspectiva, no parece que exista impedimento alguno para proceder a dicha utilización o tratamiento de datos de carácter personal derivados del Padrón Municipal. Obsérvese sin embargo que de dicho tratamiento, se obtiene por el Ayuntamiento nuevos datos de carácter personal de algunos de sus vecinos, datos referentes al interés o desinterés de dichos vecinos en relación al programa Bizigune. En dicho sentido la operación supondrá, o bien la creación de un nuevo fichero, en cuyo caso debiera cumplir con todos los requisitos de carácter formal (creación, inscripción en el registro, etc…) contemplados en la Ley, o bien supondrá la existencia de un fichero temporal para cuyo caso, sería de aplicación lo dispuesto en el artículo 7, a cuyo tenor: “1. Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento. 2. Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación.” De la misma manera, la obtención de nuevos datos supondrá para los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 411 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

casos en los que exista una contestación expresa, una recogida de datos de carácter personal y por lo tanto, el deber del Ayuntamiento de informar a sus vecinos. Por ello sería exigible desde la perspectiva que nos ocupa informar expresa y claramente a los vecinos de cuales son los motivos y finalidades por las que se procede a dicha comunicación desde el Ayuntamiento, así como las consecuencias que la aceptación o negativa de la propuesta pueden tener en orden a la posterior cesión al Departamento de Vivienda y Asuntos Sociales. V La peculiaridad del caso que se plantea en la consulta radica en el hecho de que dicha utilización no está prevista, a lo que parece, para el concreto ejercicio de dicha competencia por el propio Ayuntamiento, sino, en el ámbito de colaboración entre Administraciones Públicas, para facilitar el ejercicio de la competencia de la Administración General. Dicha peculiaridad se desprende de la segunda conducta sometida a consulta, relativa a la posibilidad de ceder los datos resultantes de las comunicaciones a otra Administración. No se hace mención expresa en la consulta a cuáles serían los concretos datos objeto de cesión, si la de aquellos que manifestaran interés en el programa BIZIGUNE o la de todos; esto es, también los de aquellos que manifestaran expresamente su desinterés o, simplemente, no manifestaran nada. Para el primer supuesto (los que manifiesten interés), no observa esta Agencia impedimento alguno para dicha cesión, no solo porque encontraría amparo expreso en lo dispuesto en el artículo 21 de la LOPD, esto es, la cesión del nuevo dato obtenido por el Ayuntamiento, lo sería para el ejercicio de la misma competencia sobre la misma materia, sino, lo que a juicio de esta Agencia es más importante porque, dicha cesión sería conforme con el principio general de compatibilidad de las finalidades expresado en el artículo 4.2 LOPD, puesto que la lógica de las cosas indica que en la comunicación que practicara el propio expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 412 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

Ayuntamiento al vecino correspondiente quedaría clara cual era la finalidad de dicha comunicación. Así las cosas, el consentimiento para ceder sus datos al Departamento que pone en marcha el programa debiera entenderse prestado por el propio vecino que, en lógica correspondencia a su interés, preverá la comunicación correspondiente del Departamento, sin que deba asaltarle duda alguna sobre cual es el origen del conocimiento de sus datos por la Administración General y cual es la finalidad para la que es cedido dicho dato. En cualquier caso, los datos que se debieran ceder al Departamento debieran ser de acuerdo con el artículo 4.1 los estrictamente necesarios, adecuados y no excesivos en relación con el fin perseguido, que no es otro que el de la comunicación entre el Departamento y el vecino a efectos informativos y para la satisfacción del interés del vecino. VI No es tan clara la respuesta respecto a los dos restantes grupos. Para el supuesto de que se cedan los datos personales de aquellos que manifiesten expresamente su no interés en el programa o no contesten nada, dicha cesión a juicio de esta Agencia, vulneraría el artículo 4.2 LOPD, en cuya virtud, “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”, esto es no cumpliría la finalidad para la cual se recogieron, puesto que no existe interés en el vecino en que se proceda a comunicación alguna por parte del Departamento de Vivienda en relación con el tan citado programa, sin que, por otra parte, exista obligación legal que exija a dichos vecinos, bien a estar informados de dicho programa, bien a poner en conocimiento de dicho Departamento la existencia de una vivienda de su propiedad que cumpla las condiciones previstas en el Decreto 316/2002, de 30 de diciembre, por el que se promueve e impulsa el Programa de Vivienda Vacía, se establece su régimen jurídico y se encomienda su gestión a la Sociedad Pública Vivienda y Suelo de Euskadi S.A/Euskadiko Etxebizitza eta Lurra, E.A (VISESA), o de cualquier otra. CONCLUSIÓN expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 413 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

1.- La utilización de los datos del padrón para dirigir una carta a los propietarios de las viviendas desocupadas del municipio para saber si están interesados en arrendar sus viviendas dentro del programa BIZIGUNE no es contrario a la normativa sobre protección de datos de carácter personal. 2.- En dicha comunicación se debe informar expresa y claramente a los destinatarios de cuales son los motivos y finalidades por las que se produce la misma así como que el resultado será, en su caso, cedido al Departamento de Vivienda y Asuntos Sociales del Gobierno Vasco 3.- La cesión de las respuestas al Departamento de Vivienda y Asuntos Sociales del Gobierno Vasco, será posible respecto de aquellos que hayan mostrado expresamente su interés en dicho programa.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 414 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

CESIÓN DE DATOS DEL PADRÓN A OTRAS ÁREAS DEL PROPIO AYUNTAMIENTO INFORME JURÍDICO QUE SE EMITE EN RELACIÓN A LA CONSULTA REALIZADA POR EL AYUNTAMIENTO DE xxx SOBRE LA POSIBILIDAD DE FACILITAR DATOS DEL PADRON MUNICIPAL A LAS DISTINTAS AREAS O SERVICIOS DEL AYUNTAMIENTO PARA EL DESARROLLO DE ACTIVIDADES EN EJERCICIO DE COMPETENCIAS MUNICIPALES. ANTECEDENTES Con fecha 19 de marzo de 2007 tiene entrada en esta Agencia Vasca de Protección de Datos, escrito de la Secretaria del Ayuntamiento de xxx en la que se eleva consulta en relación al asunto más arriba referenciado. En el escrito de remisión de la consulta se dice expresamente que: “En este Ayuntamiento es frecuente que desde distintas áreas, y con el ánimo de desarrollar competencias encomendadas a las mismas (promoción del euskera, cultura, asistencia social, etc.…) se soliciten datos del padrón municipal de habitantes. A modo de ejemplo se cita: - El área de euskera para regalar un CD con canciones en euskera a los recién nacidos solicita relación de los nacidos el ultimo mes (nombre, apellidos, fecha de nacimiento y domicilio) - Desde el área de medio ambiente, para celebrar el día del árbol y poder asignar a cada árbol que se planta el nombre de un niño nacido durante el último año, se solicita nombre, apellidos y dirección de los nacidos en un periodo de tiempo concreto. - Desde el área de bienestar social se solicita la lista de fallecidos para archivar expedientes. - Desde el área de cultura se solicita nombre, apellidos y dirección de las mujeres comprendidas en una franja de edad para mandarles información sobre los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 415 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

cursillos de manualidades, pintura, etc.… que el Ayuntamiento organiza. Sin perjuicio de que la casuística sea, y lo es, muy amplia, me surgen serias dudas sobre la procedencia de facilitar dichos datos si nos remitimos al régimen jurídico al que se encuentra sometido el padrón municipal. ¿Es ajustado a derecho facilitar datos del padrón municipal a las distintas áreas o servicios del Ayuntamiento en esos casos o cuando precisan de dichos datos para desarrollar actividades en ejercicio de sus competencias?”. El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de datos en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Como se desprende del planteamiento que se realiza en la consulta, el intento de dar respuesta a la cuestión que preocupa al solicitante exige una aproximación al régimen jurídico al que se encuentra sometido el padrón municipal. Dicho régimen jurídico se contiene, básicamente, en los artículos 15, 16 y 17 de la Ley de Bases de Régimen Local, en la redacción dada por las Leyes 4/1996, de 10 de enero, de modificación de la LBRL en esta materia y en la Ley Orgánica 14/2003, de 20 de noviembre de Extranjería. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 416 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

Interesa destacar, a los efectos del presente Dictamen, el artículo 16, a cuyo tenor “1. El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos. La inscripción en el Padrón Municipal sólo surtirá efecto de conformidad con lo dispuesto en el artículo 15 de esta Ley por el tiempo que subsista el hecho que la motivó y, en todo caso, deberá ser objeto de renovación periódica cada dos años cuando se trate de la inscripción de extranjeros no comunitarios sin autorización de residencia permanente. El transcurso del plazo señalado en el párrafo anterior será causa para acordar la caducidad de las inscripciones que deban ser objeto de renovación periódica, siempre que el interesado no hubiese procedido a tal renovación. En este caso, la caducidad podrá declararse sin necesidad de audiencia previa del interesado. 2. La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes datos: a) Nombre y apellidos. b) Sexo. c) Domicilio habitual. d) Nacionalidad. e) Lugar y fecha de nacimiento. f) Número de documento nacional de identidad o tratándose de extranjeros: Número de la tarjeta de residencia en vigor, expedida por las autoridades españolas o, en su defecto, número del documento acreditativo de la identidad o del pasaporte en vigor expedido por las autoridades del país de procedencia, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 417 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

tratándose de ciudadanos nacionales de estados miembros de la Unión Europea, de otros Estados parte en el Acuerdo sobre el Espacio Económico Europeo o de Estados a los que, en virtud de un convenio internacional se extienda el régimen jurídico previsto para los ciudadanos de los Estados mencionados. Número de identificación de extranjero que conste en documento, en vigor, expedido por las autoridades españolas o, en su defecto, por no ser titulares de éstos, el número del pasaporte en vigor expedido por las autoridades del país de procedencia, tratándose de ciudadanos nacionales de Estados no comprendidos en el inciso anterior de este párrafo g) Certificado o título escolar o académico que se posea. g) Certificado o título escolar o académico que se posea. h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral, siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución. 3. Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para

el ejercicio de sus respectivas competencias, y

exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia (Redacción dada por la LO 4/2003. II El artículo 11.1 de la Ley 15/99 de Protección de Datos de Carácter Personal establece lo siguiente “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 418 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

previo consentimiento del interesado.” En el apartado 2 del mismo artículo se regulan las excepciones al principio del consentimiento, siendo la que ahora nos incumbe la recogida en el apartado a). “El consentimiento exigiendo en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una Ley”. El artículo 16.3 de la Ley de Bases de Régimen Local constituye la “ley” a la que se refiere el artículo 11.2 a) de la LOPD que permitiría en su caso, excepcionar el consentimiento del interesado para la cesión de sus datos de carácter personal. Por otro lado, la jurisprudencia ha declarado de manera reiterada que: “Los datos del padrón son confidenciales pues contienen datos propios del ámbito de privacidad de los empadronados como se infiere de la simple lectura del artículo 16.2 de la Ley de Bases de Régimen Local donde se exponen los datos que obligatoriamente constan en el Padrón y que están sometidos a la Ley Orgánica de Protección de Datos de Carácter Personal con la única excepción contenida en el artículo 16.3 de dicha Ley de Bases” De conformidad con lo establecido en el citado artículo 16 de la Ley de Bases de Régimen Local, la expresión “datos del Padrón municipal” se refiere a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón Municipal: la determinación de la residencia en el municipio y del domicilio habitual en el mismo, la atribución de la condición de vecino, de modo que permita la determinación de la población del municipio. La utilización de los datos del Padrón con una finalidad diferente se rige por lo dispuesto en la normativa de Protección de Datos de Carácter Personal, requiriendo el consentimiento de los afectados para su tratamiento. Existe una coincidencia prácticamente total entre los diferentes órganos de control de protección de datos, en considerar que dicho artículo 16.3, por una parte, únicamente posibilita la cesión de aquellos datos que en sentido propio expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 419 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

sirven para atender a la finalidad a que se destina el padrón (determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio, en definitiva, datos identificativos y datos de domicilio, no cualquier otro) y, por otra, que únicamente será posible dicha cesión de esos concretos datos para el ejercicio de una competencia del cesionario en la que el domicilio o la residencia sea un dato relevante, siendo obligación de dicho cesionario justificar tanto su competencia como la relevancia del dato padronal en orden a la realización de la misma. La exigencia de competencia supone una aplicación del principio de finalidad recogido en el artículo 4.2 de la Ley 15/1999 de protección de datos de carácter personal: “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos” III En relación con la necesidad de acreditar la competencia, hay que señalar que además del régimen jurídico propio establecido por la Ley de Bases de Régimen Local, es de aplicación al Padrón lo dispuesto en la Disposición adicional segunda, apartado segundo de la Ley Orgánica 15/1999: “Los ficheros o registros de población tendrán como finalidad la comunicación de los distintos órganos de cada administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico administrativas

derivadas

de

las

competencias

respectivas

de

las

Administraciones Públicas” Este precepto ha sido interpretado por la Sala de lo ContenciosoAdministrativo de la Audiencia Nacional en su sentencia de 21-4-2004, Fundamento Jurídico quinto, en el siguiente sentido: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 420 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

“De este precepto de la Ley de Protección de Datos de Carácter Personal se conciben los ficheros o registros de población, entre los que cabe incluir al Padrón municipal, como un elemento de comunicación entre los distintos órganos de las administraciones públicas y de los ciudadanos, y que su uso vendrá determinado en el cumplimiento de las competencias que por el ordenamiento jurídico le viene atribuido”. En el Fundamento Jurídico sexto de la misma sentencia continúa señalando la Audiencia Nacional que: “…no puede mantenerse que la utilización por el Alcalde del Ayuntamiento de …., de unos datos obtenidos del Padrón municipal para remitir las cartas a los vecinos nacidos en…., haya vulnerado el art. 4.2 de la Ley Orgánica 15/1999 LOPD, porque dichos datos no se utilizaron para una finalidad incompatible con aquellas para las que los datos hubieran sido recogidos, sino precisamente para el ejercicio de unas competencias municipales, como son las de integración social…” En el mismo sentido, la Recomendación 1/2004, de 14 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre la utilización y tratamiento de datos del padrón municipal por los Ayuntamientos de esta Comunidad Autónoma (aprobada por resolución del Director con fecha 14 de abril de 2004, (BOCM nº 104, de 3 de mayo), se expresa en los siguientes términos: “No obstante y derivado de la tipología de datos que obligatoriamente se contienen en el padrón, pues aparte del nombre y domicilio, se contiende la edad, el nivel de estudios, etc., hay que entender que pueden existir otras finalidades municipales, que no siendo incompatibles con las principales, permitirán utilizar los datos patronales. Tal es el caso del ejercicio de las competencias legalmente reconocidas a los Ayuntamientos en los artículos 25 y 26 LBRL. A estos efectos, se entiende que, la utilización de aquellos datos del padrón municipal necesarios para el cumplimiento eficaz de la competencia municipal, es una finalidad compatible con el uso principal del padrón.” expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 421 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

Aplicando los fundamentos jurídicos citados a la consulta formulada por el Ayuntamiento de xxx podemos concluir que la utilización de los datos del padrón por los distintos servicios municipales será posible, si bien sometida a una serie de cautelas: 1.- Que se utilicen para actos dictados en ejercicio de las competencias municipales. (Artículos 25 y 26 de la LBRL) 2.- Que se utilicen exclusivamente los datos identificativos de la persona y los datos del domicilio, siempre y cuando este último sea relevante para el ejercicio de la competencia. Es decir, en cada solicitud de datos patronales deberá acreditarse la competencia municipal para cuyo ejercicio se solicitan los datos, así como la relevancia del dato del domicilio para el ejercicio de la misma. Sólo tras la debida ponderación de cada solicitud se podrá determinar la licitud o ilicitud del requerimiento. En todo caso, una vez cedidos los datos, deberán observarse las medidas tendentes a garantizar la seguridad y confidencialidad de los mismos. Estos datos únicamente podrán ser utilizados para actos de comunicación, sin que en ningún caso puedan ser incorporados a otros ficheros. CONCLUSIÓN La comunicación de los datos del padrón solicitados en los términos planteados en la consulta, será ajustada a derecho, y en concreto a la normativa sobre protección de datos de carácter personal, siempre que se acredite la competencia municipal para cuyo ejercicio se solicitan los datos y la relevancia del domicilio para el ejercicio de dicha competencia, siendo los servicios de la Corporación Local quienes deban en cada caso, realizar la ponderación correspondiente.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 422 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

CESIÓN DE DATOS DEL PADRÓN ENTRE DIFERENTES ADMINISTRACIONES. La consulta plantea si resulta posible, a la luz de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la cesión a la Diputación Provincial del datos del Documento Nacional de Identidad que figura en la solicitud de hoja padronal para incluir en los padrones de rústica y urbana. El escrito de consulta no aporta la solicitud de información

que

realiza

la Diputación

Provincial

a

efectos de

valorar

correctamente la comunicación de datos que solicitan Con carácter general, debe indicarse que la comunicación de datos solicitada constituye, conforme a lo dispuesto en el artículo 3 i) de la citada Ley Orgánica, una cesión de datos de carácter personal, definida como “Toda revelación de datos efectuada a persona distinta del interesado”. Tal y como determina el artículo 11.1 de la Ley Orgánica 15/1999, “los datos

de

carácter

personal

objeto

del

tratamiento

sólo

podrán

ser

comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta regla de consentimiento sólo se verá exceptuada en los supuestos contemplados en el artículo 11.2, entre los que cabe destacar aquellos casos en que una norma con rango de Ley dé cobertura a la cesión. Por ello, deberá determinarse si la legislación reguladora de los ficheros a los que la consulta se refiere permite esa transmisión de sus datos. Por otro lado, siendo el Padrón un fichero de titularidad pública, debe partirse, del principio de delimitación de la finalidad en las cesiones entre Administraciones Publicas consagrado por el artículo 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, al exigir que si los datos son cedidos a otras Administraciones Publicas sirvan sólo para el ejercicio de competencias iguales o que versen sobre materias semejantes, con la única excepción, tras la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, de que el cambio de finalidad esté fundado en una de las causas contenidas en el artículo 11 de la propia Ley Orgánica, pudiendo ser sustituida la necesidad del consentimiento para el cambio de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 423 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

finalidad por una previsión realizada en una disposición con rango de Ley (art.11.2 a). En cuanto al Padrón municipal, el artículo 16.3 de la Ley reguladora de las bases del régimen local, redactado conforme a lo establecido en la Ley Orgánica 14/2003, de 20 de noviembre, dispone que “los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública”. Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos se rige por lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. La Agencia de Protección de Datos ha considerado que la expresión «datos del Padrón municipal» que se emplea en el artículo 16.3 de la LBRL se refiere únicamente a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón municipal: la determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio. Por ello, cualquier cesión de los datos del Padrón deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer el dato del domicilio de la persona afectada, dado que del artículo 4.2 de la LOPD se deriva la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba. Dado que como señalábamos al comienzo del informe no nos aportan la solicitud que efectúa la Diputación, no es posible dar una respuesta clara al expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 424 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

supuesto de comunicación de datos que se plantea. No obstante, si los datos se solicitan para el ejercicio de competencias atribuidas o encomendadas a la Diputación en materia tributaria, es posible considerar que dada la naturaleza tributaria de la solicitante estaríamos en presencia de actuaciones llevadas a cabo por la Hacienda Local, resultando de aplicación lo dispuesto en que el artículo 2.2 del Real Decreto Legislativo 2/2004, de 5 marzo por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas Locales, consagra el principio de que “Para la cobranza de los tributos y de las cantidades que como ingresos de derecho público, tales como prestaciones patrimoniales de carácter público no tributarias, precios públicos, y multas y sanciones pecuniarias, debe percibir la hacienda de las entidades locales de conformidad con lo previsto en el apartado anterior, dicha Hacienda ostentará las prerrogativas establecidas legalmente para la hacienda del Estado, y actuará,

en

su

caso,

conforme

a

los

procedimientos

administrativos

correspondientes”. Ello supone que, en el ejercicio de sus competencias, resultarán de aplicación a las Haciendas Locales las mismas prerrogativas que la Ley General Tributaria atribuye a la Hacienda Estatal, lo que tiene una enorme trascendencia en lo que se refiere a la aplicación de las normas reguladoras de la protección de datos de carácter personal. Pues bien, será de aplicación a la recogida y tratamiento de los datos por parte de las Haciendas Locales lo dispuesto en los artículos 93 y 94 de la Ley 58/2003, de 17 de diciembre, General Tributaria, debiendo recordarse que, a tenor de lo establecido en el artículo 94.5, “La cesión de datos de carácter personal que se deba efectuar a la Administración tributaria conforme a lo dispuesto en el artículo anterior, en los apartados anteriores de este artículo o en otra norma de rango legal, no requerirá el consentimiento del afectado. En este ámbito no será de aplicación lo dispuesto en el apartado 1 del artículo 21 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal”. En consecuencia, la Ley General Tributaria daría cobertura a la cesión expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 425 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

planteada en la consulta.

En todo caso, no será posible una cesión masiva de datos, sin indicar el ámbito concreto de actuación de la Hacienda Pública que fundamenta dicha solicitud, por lo que deberá quedar claramente fundamentado el motivo en que se basa la solicitud de cesión, de forma que la misma no sea masiva e indiscriminada, sino que traiga su causa de un expediente concreto.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 426 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

CESIÓN DE DATOS PADRONALES A UN DEPARTAMENTO DEL GOBIERNO VASCO PARA SU POSTERIOR CESIÓN A UNA ENTIDAD PRIVADA INFORME JURÍDICO QUE SE EMITE EN RELACIÓN A LA CONSULTA REALIZADA POR … DEL EXCMO. AYUNTAMIENTO DE ERRENTERIA SOBRE LA POSIBILIDAD DE ATENDER A LA COMUNICACIÓN DE DATOS SOLICITADA DESDE EL DEPARTAMENTO DE EDUCACIÓN, UNIVERSIDADES E INVESTIGACIÓN DEL GOBIERNO VASCO RESPECTO A LOS “CORRESPONDIENTES AL CENSO DE CIUDADANOS NACIDOS DURANTE EL AÑO 2003 Y 2004; NOMBRE, APELLIDOS, FECHA DE NACIMIENTO Y DIRECCIÓN” ANTECEDENTES Con fecha 13 de diciembre de 2005 tiene entrada en esta Agencia Vasca de Protección de Datos, escrito del … del Ayuntamiento de Errenteria elevándose consulta en relación al asunto más arriba referenciado. En el escrito de remisión se realizan las siguientes consideraciones “Como se podrá observar, la solicitud es la de facilitar a la Institución los datos padronales de este municipio para entregarlos posteriormente a un centro escolar. Ello plantea serias dudas en cuanto a su adecuación a lo dispuesto en el artículo 16.3 de la Ley Reguladora de las Bases del Régimen Local, en primer lugar porque la Administración peticionario no especifica la función que se propone realizar con los datos padronales, ni, por consiguiente, tampoco acredita la relevancia de la residencia o el domicilio, ni su adecuación a las competencias que les son propias. Pero en segundo lugar, porque reconoce en su escrito que los datos a facilitar por este Ayuntamiento van a ser a su vez cedidos a un tercero. Supuesto éste que no se halla contemplado expresamente en la norma citada” El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: Atender a las consultas que en materia de protección de datos de carácter personal le formulen las Administraciones públicas, instituciones y expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 427 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta ley Corresponde a esta Agencia Vasca de Protección de datos en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Como se desprende del planteamiento que se realiza en la consulta, que correctamente cita el artículo 16 de la LBRL, el intento de dar respuesta a las cuestiones que preocupan al solicitante exige una aproximación al régimen jurídico al que se encuentra sometido el padrón municipal. Dicho régimen jurídico se contiene, básicamente, en los artículos 15, 16 y 17 de la Ley de Bases de Régimen Local, en la redacción dada por las Leyes 4/1996, de 10 de enero, de modificación de la LBRL en esta materia y en la Ley Orgánica 14/2003, de 20 de noviembre de Extranjería Interesa destacar, a los efectos del presente Dictamen, el artículo 16, a cuyo tenor: “1. El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos. La inscripción en el Padrón Municipal sólo surtirá efecto de conformidad con lo dispuesto en el artículo 15 de esta Ley por el tiempo que subsista el hecho que la motivó y, en todo caso, deberá ser objeto de renovación periódica cada dos años cuando se trate de la inscripción de extranjeros no comunitarios sin autorización de residencia permanente. El transcurso del plazo señalado en el párrafo anterior será causa para expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 428 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

acordar la caducidad de las inscripciones que deban ser objeto de renovación periódica, siempre que el interesado no hubiese procedido a tal renovación. En este caso, la caducidad podrá declararse sin necesidad de audiencia previa del interesado. 2. La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes datos: a) Nombre y apellidos. b) Sexo. c) Domicilio habitual. d) Nacionalidad. e) Lugar y fecha de nacimiento. f) Número de documento nacional de identidad o tratándose de extranjeros: Número de la tarjeta de residencia en vigor, expedida por las autoridades españolas o, en su defecto, número del documento acreditativo de la identidad o del pasaporte en vigor expedido por las autoridades del país de procedencia, tratándose de ciudadanos nacionales de estados miembros de la Unión Europea, de otros Estados parte en el Acuerdo sobre el Espacio Económico Europeo o de Estados a los que, en virtud de un convenio internacional se extienda el régimen jurídico previsto para los ciudadanos de los Estados mencionados. Número de identificación de extranjero que conste en documento, en vigor, expedido por las autoridades españolas o, en su defecto, por no ser titulares de éstos, el número del pasaporte en vigor expedido por las autoridades del país de procedencia,

tratándose

de

ciudadanos

nacionales

de

Estados

no

comprendidos en el inciso anterior de este párrafo g) Certificado o título escolar o académico que se posea. g) Certificado o título escolar o académico que se posea h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral, siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 429 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

3. Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para

el ejercicio de sus respectivas competencias, y

exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia (Redacción dada por la LO 4/2003. II Constituye dicho artículo, y en concreto su apartado 3, la “ley” a la que se refiere el artículo 11.2 a) de la LOPD que permitiría en su caso, excepcionar el consentimiento del interesado para la cesión de sus datos de carácter personal. Existe una coincidencia prácticamente total entre los diferentes órganos de control de protección de datos, en considerar que dicho artículo 16.3, por una parte, únicamente posibilita la cesión de aquellos datos que en sentido propio sirven para atender a la finalidad a que se destina el padrón (determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio), en definitiva, datos identificativos y datos de domicilio, no cualquier otro y, por otra, que únicamente será posible dicha cesión de esos concretos datos para el ejercicio de una competencia del cesionario en la que el domicilio o la residencia sea un dato relevante. Se trata a continuación de comprobar si la cesión solicitada se adecua a las condiciones reseñadas más arriba. III A juicio de esta Agencia, las claves para dicha comprobación se encuentran en las consideraciones que se acompañan a la consulta formulada. De esta manera, no puede sino convenirse en que la solicitud realizada expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 430 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

por el Delegado Territorial de Educación, no solo no concreta, sino que nada dice acerca de cual es la función que se pretende realizar, cual es el anclaje competencial para la realización de dicha función y de qué manera los datos que solicita son relevantes para el ejercicio de dicha función. Así las cosas, resultaría realmente complicado para el Ayuntamiento, (responsable en definitiva, tanto ante los vecinos como ante esta Agencia de la hipotética comunicación de los datos), realizar el juicio previo relativo a la necesidad de los datos solicitados para la realización de la función que se pretenda realizar con los mismos por parte de la Administración solicitante. Juicio previo que debe realizar el Ayuntamiento caso por caso en cuanto, se insiste, él será el responsable primero de la comunicación que se realice. Y ello, porque entra dentro de sus facultades de autoorganización adoptar la decisión al respecto. En este sentido, puede asesorarse, puede solicitar los informes que considere oportunos y, desde luego, puede solicitar la opinión de esta Agencia, pero, se insiste también, la decisión a adoptar entra dentro del haz de facultades que a cada gobierno local atribuye el ordenamiento jurídico. Otra cosa supondría una injerencia en dichas facultades por parte de esta Agencia. Cosa distinta serán las facultades de control que, a posteriori, pueda ejercer esta Agencia, pero en el momento en el que nos encontramos únicamente nos limitamos a emitir opinión. IV A lo anterior se añade además, la segunda de las claves que se señalan en la consulta. Se pone de manifiesto por la Administración solicitante que los datos así obtenidos lo son “con el fin de facilitar a la Ikastola … de esa localidad”. A lo anterior debe añadir esta Agencia que se la mencionada Ikastola se trata de una persona jurídica privada (según deducimos de la Orden de 30 de abril de 1998, del Consejero de Educación, Universidades e Investigación, BOPV nº 97, de 27 de mayo de 1998) y que, a lo que alcanzamos, no tiene inscrito ningún fichero expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 431 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

de datos de carácter personal en el registro de la Agencia Española de Protección de Datos. Al entrar a analizar en este momento ni las posibles responsabilidades que puedan deducirse de dicha situación por parte de la Ikastola y que llevan aparejadas importantes sanciones pecuniarias de acuerdo con lo previsto en los artículos 44 y 45 de la LOPD, ni las que pudieran derivarse de la actuación de la Delegación de Educación, Universidades e Investigación (que pudieran encontrarse tipificadas en el artículo 22.4 de la Ley del Parlamento Vasco 2/2004, en relación con el 44.4 y 46 de la LOPD) en cuanto no se han llegado a materializar y teniendo en cuenta lo ya dicho, no debe extrañar que el Ayuntamiento consultante, a la hora de decidir sobre la operación que se le propone, la plantee, no como una cesión a otra Administración, sino como lo que en el fondo resulta ser según se declara expresamente por la solicitante, una cesión a un ente privado. De tal manera que dicha operación de cesión de datos, de producirse, no es que fuera contraria al 16.3 de la LBRL, sino que sería contraria a la LOPD en cuanto no encontraría amparo en dicho precepto de la Ley de Bases. Sería de aplicación por lo tanto, el régimen “general” de la cesión de datos de carácter personal previsto en el artículo 11.1 de la Ley Orgánica, sin que encuentre esta Agencia posibilidad de excepcionar el consentimiento de los interesados en alguno de los supuestos previstos en el apartado 2 de dicho artículo. Sin más, dicha operación estaría expresamente vedada por el artículo 21.3 LOPD en la interpretación que del mismo viene ofreciendo la Agencia Española de Protección de Datos (“Asimismo, del apartado 3 de dicho artículo 21 se deduce que no es posible, sin el consentimiento del ciudadano, ceder datos de un fichero de titularidad pública a uno de titularidad privada, salvo previsión legal en contrario”. Informe de la AEPD sobre Tratamiento y Cesión de los datos contenidos en el Padrón Municipal de Habitantes. Año 2000) CONCLUSIÓN expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 432 de 609

INFORMES JURÍDICOS – PADRÓN DE HABITANTES Agencia Vasca de Protección de Datos.

1.- El Ayuntamiento de Errenteria no cuenta con los elementos suficientes para realizar un juicio previo sobre si la cesión de datos solicitada se ajusta o no al ordenamiento jurídico. 2.- Dadas las características de la solicitud realizada, la comunicación que se produjera no estaría amparada por el artículo 16.3 LBRL. 3.- No se aprecia la concurrencia de ninguna de las circunstancias previstas en el artículo 11.2 de la LOPD para excepcionar el consentimiento de los interesados en la cesión de sus datos a un tercero.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 433 de 609

B) PROCEDIMIENTOS SANCIONADORES DATOS PADRÓN PARA ENVÍOS FELICITACIÓN CUMPLEAÑOS. ART. 4.2 LOPD................... 435 INCLUSIÓN DE OFICIO EN EL PADRÓN MUNICIPAL DE HABITANTES POR PARTE DEL AYUNTAMIENTO DE DATOS DE RECLUSOS DE CENTRO PENITENCIARIO Y DE RESIDENTES EN EL CENTRO GERIÁTRICO DE LA LOCALIDAD. ART. 6 Y 20 LOPD..................................... 452 DENUNCIA DE PARTICULAR POR EMISIÓN DE CERTIFICADO DE EMPADRONAMIENTO POR PARTE DEL AYUNTAMIENTO A NOMBRE DE SU REPRESENTADO Y SIN SU CONSENTIEMIENTO. ART. 10 LOPD ............................................................................................ 464 UTILIZACIÓN DE LOS DATOS DEL PADRÓN PARA FINALIDADES INCOMPATIBLES ........... 476

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 434 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

DATOS PADRÓN PARA ENVÍOS FELICITACIÓN CUMPLEAÑOS. ART. 4.2 LOPD Procedimiento Nº AP/00013/2008 RESOLUCIÓN: R/00829/2008 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00013/2008, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE VALDEPEÑAS, vista la denuncia presentada por DON X.X.X., DOÑA Y.Y.Y., DON Z.Z.Z. y DOÑA V.V.V., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fechas 18 de mayo y 19 y 24 de julio de 2006, tuvieron entrada en esta Agencia escritos de Don X.X.X., Doña Y.Y.Y., Don Z.Z.Z. y Doña V.V.V. (en lo sucesivo los denunciantes), en los que ponen de manifiesto que el Ayuntamiento de Valdepeñas (en lo sucesivo el Ayuntamiento) les remitió, entre el 28 de abril y el 7 de julio de 2006, cartas de felicitación de cumpleaños firmadas por el Alcalde, a pesar de no haber prestado su consentimiento para tal fin. Asimismo, denuncian que el Ayuntamiento ha incumplido la resolución R/00064/2006 del Director de la Agencia Española de Protección de Datos, en la que se requiere a la entidad denunciada a “que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en relación con el envío de felicitaciones de cumpleaños a los ciudadanos de Valdepeñas utilizando el Padrón de habitantes”. Los denunciantes adjuntan, entre otra documentación, copia de las cartas de felicitación recibidas. SEGUNDO: Tras la recepción de las denuncias, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 435 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

siguientes extremos: 1.- De la documentación aportada por los denunciantes se desprende lo siguiente: a) Con fechas 28 de abril, 6 de mayo, 17 de junio y 7 de julio de 2006, el Ayuntamiento de Valdepeñas remitió a los denunciantes una carta en la que se recogen los siguientes datos de carácter personal: “nombre y dos apellidos, calle, número, piso y letra, localidad”. El contenido de la carta es el siguiente: “Nombre del denunciante manuscrito. Hace ahora tres años, en nombre de la corporación me complacía hacerte llegar mi más sincera felicitación en el día de tu cumpleaños. Transcurrido este tiempo, me congratulo de poder continuar haciéndolo. Deseando que pases el mejor de los días en compañía de los tuyos, recibe mi más sincero saludo. Tu alcalde. Firmado” 2.- Solicitada información al Excmo. Ayuntamiento de Valdepeñas por parte de la Agencia Española de Protección de Datos, este manifestó lo siguiente: a) Que el origen de los datos de los destinatarios de los escritos de felicitación de cumpleaños es el Padrón Municipal de Habitantes. b) Que el motivo que justifica el envío es “que por parte de esta Alcaldía se ha establecido el servicio protocolario de felicitación de cumpleaños de todo el vecindario... No obstante, aquellos ciudadanos que no han estado conformes con esta iniciativa y así lo han manifestado, han sido excluidos del citado servicio protocolario.” 3.- En la resolución R/00064/2006, de 16 de febrero de 2006, del Director de la Agencia Española de Protección de Datos, relativa al procedimiento de declaración de Infracción de las Administraciones Públicas AAPP/00007/2005 instruido al Ayuntamiento de Valdepeñas, se requirió a la entidad denunciada a “que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en relación con el envío de felicitaciones de cumpleaños a los ciudadanos de Valdepeñas utilizando el Padrón de habitantes”..

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 436 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

4.- Con fecha 21 de abril de 2006, el Ayuntamiento de Valdepeñas contestó a dicho requerimiento informando que entre las medidas adoptadas se había determinado: “Establecer un campo de control en la Base de Datos del Padrón Municipal de Habitantes, para la indicación de la negativa por parte del interesado del uso de sus datos para el fin correspondiente a la iniciativa de la felicitación de aniversario. - Establecer filtros de control sobre todos los procesos externos con acceso al Padrón Municipal de Habitantes, para impedir que datos no autorizados sean utilizados para otros fines”. TERCERO: Con fecha 10 de marzo de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de infracción de las Administraciones Públicas, por la presunta infracción del artículo 4.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3. d) de dicha norma. CUARTO: Notificado el acuerdo de inicio de procedimiento de infracción de las Administraciones Públicas, el Ayuntamiento de Valdepeñas, con fecha 2 de abril de 2008, realizó alegaciones en las que manifestó que, “Este Ayuntamiento, por iniciativa de la Alcaldía…viene felicitando personalmente a los vecinos en su aniversario, mediante una carta que le llega a su domicilio; iniciativa que está siendo bien acogida por los vecinos… Esta iniciativa se cumplimenta a todos los vecinos del municipio, que no han manifestado expresamente su deseo de no recibir la citada felicitación. Los denunciantes D. X.X.X., Dª Y.Y.Y., D. Z.Z.Z. y Dª V.V.V., no han presentado escrito alguno manifestando su deseo de no recibir en su domicilio, felicitación por su cumpleaños… ”. El Ayuntamiento, en síntesis, manifestó que no ha cometido infracción puesto que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 437 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

los vecinos denunciantes no habían comunicado al Ayuntamiento su deseo de no recibir felicitación por su cumpleaños, habiendo actuado siempre de buena fe y sin ánimo de perjudicar a vecino alguno. Asimismo, alegó que hechos muy similares ya fueron tramitados en la AEPD en el procedimiento AP/00007/2005 y que, sin embargo, la calificación de los hechos fue distinta, dado que se calificó como infracción del artículo 6.1 de la LOPD, “por no haber respetado el Ayuntamiento el derecho de oposición, manifestado expresamente por el denunciante… de no recibir cartas de felicitación por su cumpleaños”. El Ayuntamiento alegó que la distinta calificación de la infracción “crea una grave inseguridad jurídica, que le produce indefensión”. Por todo ello, solicitó que se declare el sobreseimiento y archivo del presente procedimiento. QUINTO: Con fecha 14 de abril de 2008, se acordó por la Instructora del procedimiento la apertura de un período de práctica de pruebas, en el que se dieron por reproducidas las actuaciones previas de investigación, E/00617/2006 y, se incorporaron los documentos aportados por el Ayuntamiento de Valdepeñas en sus alegaciones al acuerdo de inicio. SEXTO: Transcurrido el período de práctica de pruebas, con fecha 19 de mayo, se inició el trámite de audiencia, de acuerdo con el artículo 18.4 del citado Real Decreto 1332/94, poniendo de manifiesto el expediente al denunciante y al presunto responsable y otorgándoles quince días para realizar alegaciones. El Ayuntamiento no formuló alegaciones. SÉPTIMO: Con fecha 12 de junio de 2008, se envió propuesta de Resolución, en el sentido de que por el Director de la Agencia Española de Protección de Datos se declarase que el Ayuntamiento de Valdepeñas ha incumplido lo establecido en el artículo 4.2 de la LOPD, infracción tipificada como grave en el artículo 44.3.d) de la citada Ley Orgánica, dándose traslado para alegaciones. Con fecha 4 de julio de 2008, el Ayuntamiento de Valdepeñas presentó alegaciones en las que se ratificó en las ya formuladas al acuerdo de inicio del procedimiento y manifestó su discrepancia con el criterio de la Instrucción en el sentido de que “… Ante dicha resolución, con fecha 21 de abril de 2006, el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 438 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

Ayuntamiento de Valdepeñas informó a la Agencia Española de Protección de Datos que entre otras medidas se había determinado: - “Establecer un campo de control en la base de datos del Padrón Municipal de Habitantes, para la indicación de la negativa por parte del interesado del uso de sus datos para el fin correspondiente a la iniciativa de la felicitación de aniversario. - Establecer filtros de control sobre los procesos externos con acceso al Padrón Municipal de Habitantes, para impedir que datos no autorizados sean utilizados para otros fines”. El Ayuntamiento de Valdepeñas alegó indefensión dado que la Agencia Española de Protección de Datos no formuló discrepancia alguna sobre dichas medidas, por lo que “…el Ayuntamiento interpretó que las medidas adoptadas eran correctas; es decir que únicamente no se remitiría el escrito de felicitación del cumpleaños a aquellos ciudadanos que previamente hubiesen manifestado su negativa”. Por último manifestó que, “si por parte de la Agencia Española de Protección de Datos estima que el Padrón de Habitantes no puede usarse para la finalidad de felicitar el cumpleaños a los ciudadanos de esta Ciudad, se procederá de inmediato a suprimir el mencionado servicio”. HECHOS PROBADOS PRIMERO: En la resolución R/00064/2006, de 16 de febrero de 2006, del Director de la Agencia Española de Protección de Datos, relativa al procedimiento de declaración de Infracción de las Administraciones Públicas AAPP/00007/2005 instruido al Ayuntamiento de Valdepeñas, se requirió a la entidad denunciada a “que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en relación con el envío de felicitaciones de cumpleaños a los ciudadanos de Valdepeñas utilizando el Padrón de habitantes” (folios 31-41). expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 439 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

SEGUNDO: Con fecha 21 de abril de 2006, el Ayuntamiento de Valdepeñas contestó a dicho requerimiento informando que entre las medidas adoptadas se había determinado: “Establecer un campo de control en la Base de Datos del Padrón Municipal de Habitantes, para la indicación de la negativa por parte del interesado del uso de sus datos para el fin correspondiente a la iniciativa de la felicitación de aniversario. “Establecer filtros de control sobre todos los procesos externos con acceso al Padrón Municipal de Habitantes, para impedir que datos no autorizados sean utilizados para otros fines” (folio 32). TERCERO: Con fechas 28 de abril, 6 de mayo, 17 de junio y 7 de julio de 2006, el Ayuntamiento de Valdepeñas remitió a Don X.X.X., Doña Y.Y.Y., Don Z.Z.Z. y Doña V.V.V. una carta que contiene el siguiente tenor literal: - ”Hace ahora tres años, en nombre de la corporación me complacía hacerte llegar mi más sincera felicitación en el día de tu cumpleaños. Transcurrido este tiempo, me congratulo de poder continuar haciéndolo. Deseando que pases el mejor de los días en compañía de los tuyos, recibe mi más sincero saludo. Tu alcalde. Firmado”. (folios 4-6, 10-11, 15-16, 19-21) CUARTO: Mediante escrito de 27 de julio de 2007, Ayuntamiento de Valdepeñas informó que el origen de los datos de los destinatarios de los escritos de felicitación de cumpleaños es el Padrón Municipal de Habitantes. Asimismo, informó que el motivo que justifica el envío es “que por parte de esta Alcaldía se ha establecido el servicio protocolario de felicitación de cumpleaños de todo el vecindario... No obstante, aquellos ciudadanos que no han estado conformes con esta iniciativa y así lo han manifestado, han sido excluidos del citado servicio protocolario.” (folios 23-30). FUNDAMENTOS DE DERECHO I expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 440 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 6.1 de la LOPD dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. El apartado 2 del mencionado artículo contiene una serie de excepciones a la regla general contenida en el 6.1 estableciendo que: “ No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.” El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F. J. 7 primer párrafo) “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).” Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. La LOPD además de sentar el anterior principio de consentimiento, regula en su artículo 4 el principio de calidad de datos. El apartado 2 del citado artículo 4, dispone: “Los datos de carácter personal objeto de tratamiento no podrán usarse expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 441 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.” Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. La citada Sentencia del Tribunal Constitucional 292/2000, se ha pronunciado sobre la vinculación entre el consentimiento y la finalidad para el tratamiento de los datos personales, en los siguientes términos: “el derecho a consentir la recogida y el tratamiento de los datos personales ( Art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aún cuando puedan ser compatibles con estos (Art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por ley, pues el derecho fundamental a la protección de datos personales no admite otros límites. De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de éstos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 442 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales( Art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.” (el subrayado es de la Agencia Española de Protección de Datos). De lo expuesto cabe concluir que la vigente LOPD ha acentuado las garantías precisas para el tratamiento de los datos personales en lo relativo a los requisitos del consentimiento, de la información previa a éste y de las finalidades para las que los datos pueden ser recabados y tratados. En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado. III En cuanto a las finalidades del Padrón de Habitantes, cabe señalar que en el artículo 16.1 de la Ley 7/85, de 2 de abril, reguladora de las Bases del Régimen Local se concibe como “...un registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos. Los datos que se inscriben en el Padrón municipal son los siguientes: a) Nombre y apellidos. b) Sexo. c) Domicilio habitual. d) Nacionalidad. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 443 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

e) Lugar y fecha de nacimiento. f) Número de documento nacional de identidad o tratándose de extranjeros, del documento que lo sustituya. g) Certificado o título escolar o académico que se posea. h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución. IV En el supuesto examinado el Ayuntamiento utilizó los datos de los denunciantes y de los habitantes de Valdepeñas contenidos en el Padrón Municipal de Habitantes para remitir felicitaciones de cumpleaños, por lo que ha de entenderse conculcado el artículo 6 y 4.2 de la LOPD, pues el Ayuntamiento utilizó el Padrón de Habitantes para una finalidad distinta e incompatible con el fin para el que fue constituido, con independencia de que trató datos personales sin que existiera habilitación legal para ello. Además, el Ayuntamiento incumplió una resolución anterior del Director de la Agencia que le obligaba a tomar medidas que impidieran la utilización del Padrón de Habitantes para fines distintos. En este sentido, hay que señalar que no resultan válidas las medidas adoptadas a raíz de la resolución R/00064/2006, ya que no resulta procedente que el ciudadano tenga que dirigirse al Ayuntamiento para ejercer el derecho de oposición al respecto, sino que el Ayuntamiento debe adoptar medidas para que no se pueda usar el Padrón Municipal con este fin. V Alega el Ayuntamiento que ha utilizado los datos del Padrón Municipal de Habitantes, de buena fe y en la creencia de que se trataba de una actuación legítima, que, en ningún momento, ha habido intención alguna de infringir la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 444 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

LOPD. A este respecto, cabe decir, no obstante que el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. El Tribunal Superior de Justicia de Madrid, en su Sentencia de 16/10/2001, en la que declaró en cuanto al error alegado por la parte demandante que “el TC en su Sentencia 76/1990, de 26 de abril, nos recuerda que, aún sin reconocimiento explícito en la Constitución, el principio de culpabilidad puede inferirse de los principios de legalidad y prohibición de exceso (art. 25.1 CE) o de las exigencias inherentes al Estado de Derecho; manifestando la STC 246/1991, de 19 de diciembre, que es inadmisible en el ámbito del derecho administrativo sancionador una responsabilidad sin culpa. La Ley 30/92 ha pretendido regular la cuestión en su artículo 130.1 al consagrar el principio de responsabilidad como uno

de

los

informadores

del

ejercicio

de

la

potestad

sancionadora,

estableciendo que “sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aún a título de simple inobservancia”; el último inciso “aún a título de simple inobservancia” no es muy preciso puesto que pudiera pensarse que consagra una responsabilidad objetiva sin dolo o culpa del sujeto, por lo que deberá interpretarse conforme a la doctrina aludida, así como señala la más reciente jurisprudencia del Tribunal Supremo (SS 16 y 22 de abril de 1991 y 5 de febrero de 1992) uno de los principales componentes de la infracción administrativa es el elemento culpabilista, del que se desprende que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.- Probablemente, el legislador de la Ley 30/92 haya pretendido aludir a que serán sancionables las infracciones meramente formales, aunque no produzcan un resultado dañosos al interés publico e, igualmente, que será incriminable la culpa inconsciente o sin representación, atendiendo al aspecto normativo de la culpabilidad según el cual puede reprocharse no haber previsto lo que se podía y debía prever.” Consiguientemente, aún en el supuesto en que se hubiera padecido algún tipo de error, el mismo constituiría una falta de diligencia plenamente imputable a la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 445 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

entidad sancionada, con claro incumplimiento del artículo 10 (...) tipificado correctamente y sancionado como falta grave (...).”. En este sentido se pronuncia también la Audiencia Nacional en Sentencia de 29/06/2005 en la que rechaza el argumento de la demandante consistente en que se produjo un error informático declarando que “Ante un error de esa envergadura y tan visible no cabe sino concluir que la indebida aparición -en la mayoría de las facturas- de datos correspondientes a personas ajenas a cada una de esas facturas pudo haberse evitado si la empresa hubiese habilitado algún mecanismo de control previo a la remisión de aquéllas a sus destinatarios. Y no nos referimos a un sistema complejo y sofisticado de comprobación pues el error en la facturación era tan visible y generalizado que el control más liviano habría bastado para detectarlo. La demandante afirma haber realizado en su día las oportunas pruebas de validación del programa informático; y no cuestionamos aquí la veracidad de tales alegaciones. Pero nada nos dice la demandante respecto a la realización de controles o muestreos que podían y debían haberse realizado sobre facturas ya emitidas e impresas y que habrían permitido detectar la indebida aparición en ellas de datos correspondientes a personas ajenas a la realización contractual a que se refiere la factura”. Conforme a esta doctrina jurisprudencial, es evidente la existencia, en este caso de, al menos, una falta de diligencia plenamente imputable al Ayuntamiento por haber tratado los datos personales de los denunciantes para una finalidad distinta a la prevista legalmente y para la que se estima debe destinarse el Padrón Municipal de Habitantes. A mayor abundamiento, hay que señalar que el Ayuntamiento de Valdepeñas ha incumplido la resolución R/00064/2006 del Director de la Agencia Española de Protección de Datos, en la que se requería a “que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en relación con el envío de felicitaciones de cumpleaños a los ciudadanos de Valdepeñas utilizando el Padrón de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 446 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

habitantes”. VI Por lo que respecta a la alegación de indefensión del Ayuntamiento de Valdepeñas en el sentido de que hechos similares ya fueron tramitados en la AEPD en el procedimiento AP/00007/2005 y que, sin embargo, la calificación de los hechos fue distinta, dado que se calificó como infracción del artículo 6.1 de la LOPD, “por no haber respetado el Ayuntamiento el derecho de oposición, manifestado expresamente por el denunciante… de no recibir cartas de felicitación por su cumpleaños”, hay que señalar que las circunstancias contempladas en dicho procedimiento eran distintas, ya que el entonces denunciante había solicitado de forma expresa al Ayuntamiento su deseo de no recibir este tipo de cartas y, no obstante, el Ayuntamiento le remitió una carta de felicitación de cumpleaños con posterioridad a su manifestación de oposición. No existe, pues, una distinta calificación de la infracción pues en el supuesto que ahora nos ocupa se contempla un desvío de finalidad de la utilización de los datos personales de varios denunciantes contenidos en el Padrón de Habitantes del citado municipio. Además, el Ayuntamiento no observó la diligencia debida puesto que ya se había declarado que había infringido la LOPD y se le había requerido para que adoptase medidas de orden interno que impidiesen que en el futuro pudieran producirse nuevas infracciones a la LOPD. Por lo tanto, dicha alegación debe ser desestimada. VII Asimismo, el Ayuntamiento de Valdepeñas alegó indefensión en sus alegaciones formuladas a la propuesta de resolución, indicando que la Agencia Española de Protección de Datos no formuló discrepancia alguna sobre las medidas adoptadas por ese Ayuntamiento con motivo de la resolución R/00064/2006, por lo que el Ayuntamiento interpretó que las medidas adoptadas eran correctas; es decir que únicamente no se remitiría el escrito de felicitación del cumpleaños a aquellos ciudadanos que previamente hubiesen manifestado su negativa.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 447 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

Sin embargo, hay que recordar que la segunda de las medidas que el Ayuntamiento comunicó a esta Agencia consistía en establecer filtros de control sobre el acceso al Padrón Municipal de Habitantes, para impedir que datos no autorizados fueran utilizados para otros fines. En este sentido, y en primer lugar, el Ayuntamiento no había recabado el consentimiento de los ciudadanos para emitir felicitaciones de cumpleaños, por otro lado, y como se ha señalado en los Fundamentos de Derecho II, III y IV, el Ayuntamiento continuó utilizando el Padrón de Habitantes para una finalidad distinta e incompatible con el fin para el que fue constituido, con independencia de que trató datos personales sin que existiera habilitación legal para ello. Por lo tanto, dicha alegación debe ser desestimada. VIII El artículo 44.3.d) de la LOPD considera infracción grave: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.” La Audiencia Nacional ha manifestado en su Sentencia de 22/10/2003 que “la descripción de conductas que establece el artículo 44.3.d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave , por

tanto,

se

está

describiendo una

conducta

-el

tratamiento

automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 448 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.” El principio del consentimiento se configura como principio básico en materia de protección de datos, y así se recoge en la doctrina jurisprudencial, del Tribunal Constitucional (Sentencia 292/2002, de 30 de noviembre). En este caso, la conducta del Ayuntamiento vulnera el citado principio, toda vez que ha quedado acreditado en el presente procedimiento que el Ayuntamiento trató los datos del denunciante sin su consentimiento, conducta que encuentra su tipificación en el artículo 44.3.d) de la LOPD. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE VALDEPEÑAS ha infringido lo dispuesto en el artículo 4.2 de la LOPD, tipificada como grave en el artículo 44.3.d) de la citada Ley Orgánica. SEGUNDO: REQUERIR al AYUNTAMIENTO DE VALDEPEÑAS, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 4.2 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE VALDEPEÑAS , con domicilio en Plaza de España S/N, 13300 Valdepeñas, Ciudad Real, y a DON X.X.X., con domicilio en (C/…………………………………….), DOÑA Y.Y.Y., con expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 449 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

domicilio

en

(C/……………………………….),

(C/…………………………………),

y

DOÑA

DON

Z.Z.Z.,

V.V.V.,

con

con

domicilio domicilio

en en

(C/…………………………………). CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 450 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

del referido texto legal. Madrid, 22 de julio de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 451 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

INCLUSIÓN DE OFICIO EN EL PADRÓN MUNICIPAL DE HABITANTES POR PARTE DEL AYUNTAMIENTO DE DATOS DE RECLUSOS DE CENTRO PENITENCIARIO Y DE RESIDENTES EN EL CENTRO GERIÁTRICO DE LA LOCALIDAD. ART. 6 Y 20 LOPD Procedimiento Nº AP/00038/2008 RESOLUCIÓN: R/01517/2008 En el procedimiento de oficio de Declaración de Infracción de Administraciones Públicas AP/00038/2008, instruido por la Agencia Española de Protección de Datos a la entidad AYUNTAMIENTO DE OUTEIRO DE REI, y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 27/04/2007 el Director de la Agencia Española de Protección de Datos ordenó la realización de actuaciones previas de investigación en relación con la inclusión de oficio en el Padrón Municipal de Habitantes por parte del Ayuntamiento de Outeiro de Rei (en lo sucesivo el Ayuntamiento), de datos de reclusos del centro penitenciario de Bonxe y de residentes en el Centro Geriátrico Carlos IV, de dicha localidad. SEGUNDO: Realizada visita de inspección al Ayuntamiento de Outeiro de Rei, se pusieron de manifiesto los siguientes hechos: a) Hasta el momento no se ha realizado la inscripción en el Registro General de Protección de Datos del fichero correspondiente al Padrón Municipal de Habitantes del municipio de Outeiro de Rei, toda vez que, según manifiesta el representante del Ayuntamiento, fue creado con anterioridad a la entrada en vigor de la Ley Orgánica de Protección de Datos. b) El fichero del Padrón Municipal de Habitantes es gestionado utilizando una aplicación informática proporcionada por un tercero. Se dispone además de un acceso a través de Internet al sistema de información del Instituto Nacional de Estadística -INE-, que es utilizado para la remisión mensual de las variaciones producidas en el Padrón. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 452 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

c) En uso de las atribuciones que otorga a los Ayuntamientos la Ley 7/1985, de 2 de abril, de Bases de Régimen Local y su normativa de desarrollo, a comienzos del año 2006 se decidió llevar a cabo el proceso de empadronamiento de oficio para los residentes en la residencia geriátrica Carlos IV así como para los internos del Centro Penitenciario de Bonxe, al estar ambos centros ubicados en el municipio de Outeiro de Rei. d) A tal fin, con fecha 21/03/ 2006 se remitieron sendos escritos a los centros mencionados en los que se requería datos de carácter personal como: Nombre y apellidos, sexo, nacionalidad, lugar y fecha de nacimiento, número del DNI y municipio de procedencia - de las personas que allí residían en ese momento. Consta copia de los citados requerimientos entre la documentación del expediente. e) Ambos centros, cumpliendo el requerimiento realizado en el plazo estipulado, remitieron sendas relaciones con los datos de carácter personal solicitados de las personas afectadas. Una vez analizada la información y hechas las verificaciones oportunas - existencia de un conjunto mínimo de datos para realizar el empadronamiento o constatar que no figuraban inscripciones previas - a lo largo de los meses de junio, julio y agosto de 2006 se procedió a la inscripción en el Padrón Municipal de Habitantes del conjunto de personas afectadas. e) No se realizó, debido a un error administrativo, el trámite de audiencia al interesado previo a la inscripción en el censo establecido en el Real Decreto 1690/1986, de 11 de julio, por el que se aprueba el Reglamento de Población y Demarcación de las Entidades Locales. f) Las altas producidas fueron comunicadas al INE para su trámite remitiendo las mismas en soporte magnético, del que no se conserva copia. Consta en el expediente copia de los documentos de comunicación de las variaciones producidas. g) A lo largo de noviembre y diciembre de 2006 se realizaron comunicaciones al Ayuntamiento por parte del Instituto Nacional de Estadística relativas a un conjunto - unas cincuenta - de cartas remitidas a los nuevos empadronados que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 453 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

habían sido devueltas por causas como “desconocido en domicilio” y otras. Igualmente se recibieron diversas comunicaciones remitidas por ciudadanos en las que solicitaba que se revirtiera la inscripción realizada. Todas las solicitudes de anulación recibidas hasta la fecha han sido estimadas por el Ayuntamiento, habiéndose procedido a la anulación de la inscripción con efectos retroactivos, de forma y manera que la inscripción no se tiene por realizada, volviendo a todos los efectos y sin variación alguna a su situación original. h) De acuerdo a las manifestaciones realizadas por el representante del Ayuntamiento, todas las personas que tienen su residencia en el Centro Penitenciario de Bonxe o en la Residencia Geriátrica Carlos IV que no han manifestado su oposición a la inscripción en el Padrón Municipal de Habitantes de Outeiro de Rei, bien a petición propia o a través del INE, siguen inscritos en la actualidad salvo que se haya producido una variación en su situación de la que tenga conocimiento el Ayuntamiento. En ese sentido se pudo comprobar por parte de los inspectores la existencia en el Padrón Municipal de Habitantes de 261 inscripciones correspondientes a los internos del Centro Penitenciario de Bonxe así como de 122 correspondientes a las personas que residen en el Centro Geriátrico Carlos IV. i) Respecto a dichas inscripciones, el representante del Ayuntamiento manifestó que, a su juicio, no se había vulnerado ningún derecho fundamental de las personas inscritas de oficio en el Padrón Municipal de Habitantes, toda vez que a pesar de no haberse cumplimentado el trámite de audiencia previa, y una vez recibida comunicación del INE, la ausencia de reclamación hasta la fecha implica la existencia de consentimiento al acto administrativo realizado. TERCERO: A la vista del resultado de las actuaciones previas de investigación, con fecha 17/07/2008, con arreglo a lo dispuesto en el artículo 46 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -LOPD- , el Director de la Agencia Española de Protección de Datos acordó iniciar un Procedimiento de Declaración de Infracción de las Administraciones Públicas al Ayuntamiento de Outeiro de Rey, por la presunta infracción de los artículos 6 y 20 expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 454 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

de dicha norma, tipificadas como graves en el artículo 44.3.d) y a) respectivanmente, de la citada Ley Orgánica. Dicho Acuerdo de Inicio de Declaración de Infracción de las Administraciones Públicas fue notificado al Ayuntamiento de Albacete, el 25/06/2008. CUARTO: El Ayuntamiento de Albacete, no obstante haber sido notificado en tiempo y forma el Acuerdo de Inicio de Declaración de Infracción de las Administraciones Publicas, no ha efectuado alegaciones. HECHOS PROBADOS PRIMERO: Con fecha 27/04/2007, el Director de la AEPD ordenó la realización de actuaciones previas de investigación en relación con la inclusión de oficio en el Padrón Municipal de Habitantes por parte del Ayuntamiento de datos de reclusos del centro penitenciario de Bonxe y de residentes en el Centro Geriátrico Carlos IV, de dicha localidad ( folios 1 a 38). SEGUNDO: Consta que a la fecha de 17/05/2007del Informe de Actuaciones de Inspección no se ha realizado la inscripción en el Registro General de Protección de Datos del fichero correspondiente al Padrón Municipal de Habitantes del municipio de Outeiro de Rei, toda vez que, según manifiesta el representante del Ayuntamiento, fue creado con anterioridad a la entrada en vigor de la Ley Orgánica de Protección de Datos ( folio 112). El fichero del Padrón Municipal de Habitantes es gestionado utilizando una aplicación informática proporcionada por un tercero y dispone de un acceso a través de Internet al sistema de información del Instituto Nacional de Estadística INE-, que es utilizado para la remisión mensual de las variaciones producidas en el Padrón. TERCERO: A comienzos del año 2006 el Ayuntamiento decidió llevar a cabo el proceso de empadronamiento de oficio para los residentes en la residencia geriátrica Carlos IV así como para los internos del Centro Penitenciario de Bonxe, al estar ambos centros ubicados en el municipio de Outeiro de Rei. A tal fin, con expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 455 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

fecha 21/03/ 2006 se remitieron sendos escritos a los centros mencionados en los que se requería datos de carácter personal como: Nombre y apellidos, sexo, nacionalidad, lugar y fecha de nacimiento, número del DNI y municipio de procedencia - de las personas que allí residían en ese momento ( folio 42). CUARTO: La residencia geriátrica Carlos IV y el Centro Penitenciario de Bonxe remitieron sendas relaciones con los datos de carácter personal solicitados de las personas afectadas. Una vez analizada la información y hechas las verificaciones oportunas - existencia de un conjunto mínimo de datos para realizar el empadronamiento o constatar que no figuraban inscripciones previas - a lo largo de los meses de junio, julio y agosto de 2006 se procedió a la inscripción en el Padrón Municipal de Habitantes del conjunto de personas afectadas ( folios 42). QUINTO: No se realizó, debido a un error administrativo, el trámite de audiencia al interesado previo a la inscripción en el censo establecido en el Real Decreto 1690/1986, de 11 de julio, por el que se aprueba el Reglamento de Población y Demarcación de las Entidades Locales (folios 42). SEXTO: Las altas producidas fueron comunicadas al Instituto Nacional de Estadistica -INE- para su trámite remitiendo las mismas en soporte magnético.. A lo largo de noviembre y diciembre de 2006, el INE realizó comunicaciones al Ayuntamiento por relativas a un conjunto - unas cincuenta - de cartas remitidas a los nuevos empadronados que habían sido devueltas por causas como “desconocido

en

domicilio”

y

otras.

Igualmente

se

recibieron

diversas

comunicaciones remitidas por ciudadanos en las que solicitaba que se revirtiera la inscripción realizada ( folio 42). SÉPTIMO: Las solicitudes de anulación recibidas han sido estimadas por el Ayuntamiento y procedido a la anulación de la inscripción con efectos retroactivos, de forma y manera que la inscripción no se tiene por realizada, volviendo a todos los efectos y sin variación alguna a su situación original ( f0lio 43). OCTAVO : Según manifiesta el Ayuntamiento, en la actualidad las personas que expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 456 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

tienen su residencia en el Centro Penitenciario de Bonxe o en la Residencia Geriátrica Carlos IV que no han manifestado su oposición a la inscripción en el Padrón Municipal siguen inscritos, salvo que se haya producido una variación en su situación de la que tenga conocimiento el Ayuntamiento. En ese sentido se pudo comprobar por parte de los inspectores la existencia en el Padrón Municipal de Habitantes de 261 inscripciones correspondientes a los internos del Centro Penitenciario de Bonxe así como de 122 correspondientes a las personas que residen en el Centro Geriátrico Carlos IV ( folio 44). NOVENO: El referido Acuerdo de Inicio de Declaración de Infracción de las Administraciones Publicas en el punto 3 de la parte dispositiva recoge lo siguiente: NOTIFICAR el presente Acuerdo al AYUNTAMIENTO DE OUTEIRO DE REI, en Plaza Do Concello 1, 27150 Outeiro de Rei, Lugo otorgándole un plazo de QUINCE DÍAS HÁBILES para que formule las alegaciones y proponga las pruebas que considere convenientes y ejercite el derecho a la audiencia, de acuerdo con lo preceptuado en el artículo 16.1 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora. De no efectuar alegaciones sobre el contenido del presente acuerdo de iniciación podrá ser considerado propuesta de resolución, de acuerdo con lo dispuesto en el artículo 13.2 del citado Real Decreto 1398/1993. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El Real Decreto recoge: señala : 1398/1993, de 4 de agosto, Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, en su articulo 13, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 457 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

“1. La iniciación de los procedimientos sancionadores se formalizarán con el contenido mínimo siguiente: a) Identificación de la persona o personas presuntamente responsables. b) Los hechos sucintamente expuestos que motivan la incoación del procedimiento, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción. c) Instructor y, en su caso, Secretario del procedimiento, con expresa indicación del régimen de recusación de los mismos. d) Órgano competente para la resolución del expediente y norma que le atribuya tal competencia, indicando la posibilidad de que el presunto responsable pueda reconocer voluntariamente su responsabilidad, con los efectos previstos en el artículo 8. e) Medidas de carácter provisional que se hayan acordado por el órgano competente para iniciar el procedimiento sancionador, sin perjuicio de las que se puedan adoptar durante el mismo de conformidad con el artículo 15. f) Indicación del derecho a formular alegaciones y a la audiencia en el procedimiento y de los plazos para su ejercicio. 2. El acuerdo de iniciación se comunicará al instructor, con traslado de cuantas actuaciones existan al respecto, y se notificará al denunciante, en su caso, y a los interesados, entendiendo en todo caso por tal al inculpado. En la notificación se advertirá a los interesados que, de no efectuar alegaciones sobre el contenido de la iniciación del procedimiento en el plazo previsto en el artículo 16.1, la iniciación podrá ser considerada propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada, con los efectos previstos en los artículos 18 y 19 del Reglamento”. En el presente caso, el Ayuntamiento no ha formulado alegaciones sobre el contenido del acuerdo de iniciación del procedimiento, por lo que, en virtud de lo dispuesto en el trascrito artículo 13.2 del Real Decreto 1398/1993, dicho acuerdo será considerado Propuesta de Resolución, toda vez que su contenido se pronuncia de forma precisa sobre la responsabilidad imputada. En consecuencia, tras elevar el expediente al órgano sancionador, procede su resolución. III expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 458 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -LOPD- en su articulo 6 establece: 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”. En el presente caso, esta acreditado que el Ayuntamiento incluyó en el fichero Padrón Municipal de Habitantes sin el consentimiento de los residentes en la Residencia Geriátrica Carlos IV y de los internos del Centro Penitenciario de Bonxe ni otorgarles el tramite de audiencia previo a la inscripción en el censo establecido en el Real Decreto 1690/1986, de 11 de julio, por el que se aprueba el Reglamento de Población y Demarcación de las Entidades Locales y tampoco haya aportado ninguna documentación que acredite la existencia de “consentimiento” de los afectados En consecuencia, los hechos expuestos suponen la comisión por parte del Ayuntamiento una infracción al trascrito artículo 6 de la LOPD. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 459 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

IV La LOPD en su artículo 44.3.d) califica como infracción grave la siguiente conducta: “ Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”. El Ayuntamiento ha incurrido en la conducta descrita al publicar datos personales del denunciante sin su consentimiento. V La LOPD en su articulo 20, recoge lo siguiente: “ 1. La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente. 2. Las disposiciones de creación o de modificación de ficheros deberán indicar: a) La finalidad del fichero y los usos previstos para el mismo .b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos c) El procedimiento de recogida de los datos de carácter personal. d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. f) Los órganos de las Administraciones responsables del fichero .g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. En el presente caso, ha quedado a acreditado que a la fecha de la Inspección en el Ayuntamiento y del Informe de Actuaciones de Inspección, el 17/05/2007, aquél ni había publicado al orden de creación del fichero Padrón de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 460 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

Habitantes ni había comunicado su creación al Registro General de Protección de Datos de la AEPD y sí había procedido a la recogida de datos de carácter personal de los residentes en la Residencia Geriátrica Carlos IV y de los internos del Centro Penitenciario de Bonxe, hechos tipificados en el articulo 44.3.a) de la LOPD como infracción grave. La LOPD en su artículo 44.3.a) recoge: “ Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general,

publicada

en

el

“Boletín

Oficial

del

Estado”

o

diario

oficial

correspondiente”. El Ayuntamiento ha incurrido en la conducta descrita al haber tratado sin su consentimiento de los datos de los internos del Centro Penitenciario de Bonxe y residentes de la Clínica Geriátrica San Carlos IV. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE OUTEIRO DE REI ha infringido lo dispuesto en el artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de de la citada Ley Orgánica. SEGUNDO: DECLARAR que el AYUNTAMIENTO DE OUTEIRO DE REI ha infringido lo dispuesto en el artículo 20 de la LOPD, tipificada como grave en el artículo 44.3.a) de de la citada Ley Orgánica. TERCERO: REQUERIR al AYUNTAMIENTO DE OUTEIRO DE REI, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción de los artículos 6 y 20 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 461 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. CUARTO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE OUTEIRO DE REI, en Plaza Do Concello 1, 27150 Outeiro de Rei, Lugo. QUINTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 462 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 4 de noviembre de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 463 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

DENUNCIA DE PARTICULAR POR EMISIÓN DE CERTIFICADO DE EMPADRONAMIENTO POR PARTE DEL AYUNTAMIENTO A NOMBRE DE SU REPRESENTADO Y SIN SU CONSENTIEMIENTO. ART. 10 LOPD Procedimiento Nº AP/00066/2008 RESOLUCIÓN: R/00382/2009 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00066/2008, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE BENAHAVÍS, vista la denuncia presentada por DON V.V.V., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 15 de julio de 2008, tuvo entrada en esta Agencia escrito de Don Jesús Casas Robla, en representación de Don V.V.V., en el que denuncia que, con fecha 12 de diciembre de 2007, fue emitido un certificado de empadronamiento por parte del Ayuntamiento de Banahavís (Málaga) a nombre de su representado y sin su consentimiento. Dicho certificado fue aportado en una demanda contra el Sr. V.V.V. en el Juzgado de Primera Instancia nº 0A de ... , según se acredita en la documentación adjunta a la denuncia. SEGUNDO: A la vista de los citados hechos, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos, teniendo conocimiento de los siguientes extremos: 1 . Con fecha 7 de noviembre de 2008, se giró vista de inspección en los locales del Ayuntamiento de Benahavís, poniéndose de manifiesto los siguientes hechos: 1.1. Los representantes del Ayuntamiento manifestaron que “cuando un vecino de la localidad solicita un certificado de empadronamiento, puede hacerlo por dos vías: bien, rellenando un impreso de solicitud existente al efecto, el cual debe ser firmado por el interesado; dicho documento se archiva en el Ayuntamiento, o bien presentado el original de su DNI, el cual es comprobado por la funcionaria expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 464 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

que emite el certificado, en este caso el Ayuntamiento no se queda con ningún documento acreditativo de su solicitud”. 1.2. Se verificó, en el archivador que contiene los documentos de salida del Ayuntamiento correspondientes al mes de diciembre de 2007, que se encuentra un Certificado de empadronamiento original, a nombre de Don V.V.V.. 1.3. Se verificó, en el archivador que contiene los documentos de entrada al Ayuntamiento correspondientes al periodo de octubre-diciembre de 2007, desde el 10 al 13 de diciembre, que no existe constancia de entrada de solicitud de Certificado de empadronamiento a nombre de Don V.V.V.. 1.4. Se verificó, mediante acceso al Sistema de Información del Padrón Municipal de Habitantes, que realizándose una consulta mediante el criterio ”V.V.V.”, existía información asociada a V.V.V.. 1.5. Se accedió al Sistema de Información del Registro de ENTRADA-SALIDA, realizándose las siguientes comprobaciones: 1.5.1. Se verificó que el día 12 de diciembre de 2007 a las 10:46 se registró un documento de salida, figurando en el campo “EXPLICACIÓN: Certificado de empadronamiento”, a nombre de D. V.V.V.. 1.5.2. Se verificó que desde el día 10 al 13 de diciembre de 2007, ambos inclusive, no consta solicitud de certificado de empadronamiento a nombre de Don V.V.V.. 2. Una vez realizadas las verificaciones anteriormente descritas los representantes del Ayuntamiento manifestaron que el Certificado emitido a nombre de Don V.V.V., fue solicitado por el interesado y entregado en mano al mismo. TERCERO: Con fecha 12 de noviembre de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al AYUNTAMIENTO DE BENAHAVÍS por la presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el apartado e) del artículo 44.2 de dicha norma. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 465 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

CUARTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas, en fecha 20 de noviembre de 2008, Don Jesús Casas Robla, en representación de Don V.V.V., se personó como interesado en el procedimiento. Por su parte, con fecha de entrada en esta Agencia el 30 de diciembre de 2008, el Ayuntamiento de Benahavís presentó escrito de alegaciones en el que, en síntesis, manifestaba lo siguiente: Que no ha incumplido el artículo 10 de la LOPD y que ha cumplido con la obligación de guardar los datos y el documento general en la emisión del certificado que da origen al presenta procedimiento sancionador. - “… en el Registro de salida de este Ayuntamiento hay copia del Certificado en su día expedida, por ser éste el único documento que consta en relación con ésta solicitud. - Que no obstante lo anterior, bien es cierto que no existe copia de la solicitud de petición para que sea expedido éste Certificado, toda vez que éste Ayuntamiento… en los supuestos de que sea el propio interesado el que solicite personalmente un certificado de empadronamiento para él mismo, no se le requiere

escrito

de

solicitud

expreso,

debiendo,

eso

sí,

acreditar

convenientemente su personalidad, con la presentación del Documento Original que proceda, ya sea éste Pasaporte, NIE o DNI. - Que independientemente de la circunstancia alegada en el punto anterior, en ningún precepto se regula la expedición de certificados como en el caso concreto que ahora nos interesa, considerando que si el solicitante acredita fehacientemente su personalidad para obtener un documento personal que le afecta, no existe inconveniente en expedirlo siempre y cuando no exista duda alguna respecto a la autenticidad del documento presentado…” QUINTO: Con fecha 2 de enero de 2009, se acordó por la Instructora del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/01521/2008, así como la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 466 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

documental aportada por el Ayuntamiento de Benahavís. SEXTO: Con fecha 5 de febrero de 2009, se envió propuesta de Resolución, en el sentido de que por el Director de la Agencia Española de Protección de Datos se declarase que el AYUNTAMIENTO DE BENAHAVÍS ha infringido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como leve en el artículo 44.2.e) de la citada Ley Orgánica. El Ayuntamiento de Benahavís no presentó alegaciones dentro del plazo establecido.. HECHOS PROBADOS PRIMERO: Con fecha 15 de julio de 2008, tuvo entrada en esta Agencia escrito de Don Jesús Casas Robla, en representación de Don V.V.V., en el que denuncia que, con fecha 12 de diciembre de 2008, fue emitido un certificado de empadronamiento por parte del Ayuntamiento de Banahavís (Málaga) a nombre de su representado y sin su consentimiento. Dicho certificado fue aportado en una demanda contra el Sr. V.V.V. en el Juzgado de Primera Instancia nº 0A de ... , según se acredita en la documentación adjunta a la denuncia (folios 1-12). SEGUNDO: Los datos personales incluidos en el Certificado de Empadronamiento, de fecha 12 de diciembre de 2007, son los siguientes: nombre, apellidos, domicilio, fecha y lugar de nacimiento, sexo, nacionalidad, fecha de inscripción y número de pasaporte (folio 11) TERCERO:

El

Ayuntamiento

de

Benahavís

no

ha

podido

acreditar

el

consentimiento de Don V.V.V. para la expedición de dicho certificado, ni que fuera expedido a instancia del denunciante (folios 16-19 y 58-59). CUARTO: En el Ayuntamiento de Benahavís no consta solicitud de expedición de certificado de empadronamiento a nombre de Don V.V.V., sin embargo, si consta su registro de salida, con fecha 12 de diciembre de 2007 (folios 26-31 y 25) QUINTO: En el escrito presentado ante el Juzgado de Primera Instancia nº 0A de .. contra Don V.V.V. se recoge expresamente “… V.V.V.… el citado señor es expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 467 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

efectivamente residente en la casa situada en la dirección que proporcionó esta parte en su escrito de demanda y que completó, una vez culminada la investigación de los detectives privados… como se acredita con el adjunto Certificado de Empadronamiento…” (folio 10) SEXTO: No consta acreditado que el Juzgado de Primera Instancia nº 0A de ... , ni ningún órgano judicial hubiera solicitado al Ayuntamiento de Benahavís la expedición del Certificado de Empadronamiento de Don V.V.V.. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Los artículos 1 y 2 de la LOPD, establecen como Objeto y Ámbito de la misma: “1. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.” “2. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.” III El artículo 3 de la LOPD, define como: “a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 468 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que

resulten

de

comunicaciones,

consultas,

interconexiones

y

transferencias. d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. e) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo. f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.” IV Por su parte, la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, establece en su artículo 16.3 lo siguiente: expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 469 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

3. “Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia”. Al respecto, conviene señalar que el Ayuntamiento hubiera estado habilitado para ceder los datos del denunciante al Juzgado de Primera Instancia número 2 de Ibiza, en el supuesto de que dicho Juzgado así se lo hubiera requerido. Sin embargo, en el supuesto que nos ocupa, el Ayuntamiento no ha podido acreditar ni dicho requerimiento ni el envío del citado certificado al Juzgado. V Se imputa al Ayuntamiento de Benahavís infracción del artículo 10 de la LOPD que establece lo siguiente. “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su sentencia n. 361, de 19/07/01: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 470 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”. En este sentido, la sentencia de la Audiencia Nacional de fecha 18/01/02, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo: “El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable en este caso, la entidad bancaria recurrente- de los datos almacenados -en este caso, los asociados a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo” (artículo 10 citado). Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto.” “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida” El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. El deber de secreto expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 471 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

profesional que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia

elemental

y

anterior

al

propio

reconocimiento

del

derecho

fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riego para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. En el presente caso, ha quedado acreditado el traslado por parte del Ayuntamiento de Banahavís a terceros, y sin consentimiento del afectado, del “Certificado de empadronamiento” de Don V.V.V., que fue presentado por la parte contraria en una demanda contra su persona seguida en el Juzgado de Primera Instancia número 2 de Ibiza. Dicho certificado contiene información en la que figuraban, entre otros, datos relativos a su lugar de residencia y fue aportada por el abogado de la parte contraria en el Juzgado de ... .., sin el consentimiento del denunciante. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 472 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

En consecuencia, el certificado fue facilitado por el Ayuntamiento de Banahavís a una persona distinta del interesado, incurriendo en una infracción al deber de confidencialidad que exige el artículo 10 de la LOPD. VI La

Agencia

Española

de

Protección

de

Datos

ha

resuelto

numerosos

procedimientos sancionadores, por infracción del artículo 10 de la LOPD, por incumplir el deber de secreto sobre los datos de carácter personal incorporados a ficheros. La LOPD califica la vulneración del deber de secreto como infracción leve, grave o muy grave, dependiendo del contenido de la información facilitada al tercero. Así, el artículo 44.2.e) de dicha Ley Orgánica califica como infracción leve “Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave”. Tal

incumplimiento

sólo

constituye

una

infracción

grave

en

los

casos

específicamente enunciados en el artículo 44.3.g) de la LOPD, es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”. Por tanto, la razón de ser del tipo agravado queda explicada en el último inciso del citado artículo 44.3.g) de la LOPD, es decir, que la vulneración del secreto se refiera a datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. De acuerdo con lo expuesto, se considera que el Ayuntamiento de Banahavís ha vulnerado el deber de secreto al comunicar los datos referentes al nombre, apellidos, domicilio, fecha y lugar de nacimiento, sexo, nacionalidad, fecha de inscripción y número de pasaporte del denunciante. Se trata de una información expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 473 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

que no permite realizar una evaluación de la personalidad del mismo, de modo que se considera que el Ayuntamiento ha incurrido en la infracción leve anteriormente descrita. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE BENAHAVÍS ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de de la citada Ley Orgánica. SEGUNDO: REQUERIR al AYUNTAMIENTO DE BENAHAVÍS, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE BENAHAVÍS y a DON JESÚS CASAS ROBLA en representación de DON V.V.V.. CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 474 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Agencia Española de Protección de Datos

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 18 de marzo de 2009

EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

Fdo.: Artemi Rallo Lombarte

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 475 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

UTILIZACIÓN DE INCOMPATIBLES

LOS

DATOS

DEL

PADRÓN

PARA

FINALIDADES

Audiencia Nacional. Sentencia de 21-04-2004. Sala de lo ContenciosoAdministrativo, sección primera. Utilización de los datos del padrón para finalidades incompatibles. La AN estima el recurso. Madrid, a veintiuno de abril de dos mil cuatro. Visto por la Sala constituida por los Sres. Magistrados relacionados al margen Recurso núm. representado por el Procurador D. .. 637/2002, interpuesto por el “AYUNTAMIENTO”, .., contra resolución de fecha 10 de abril de 2002 dictada por el Director de la Agencia de Protección de Datos por sanción de la Ley de Protección de Datos de Carácter Personal (RCL 1995, 3058); habiendo sido parte, además, la Administración General del Estado, representada y defendida por su Abogacía. La cuantía del recurso es indeterminada. Siendo Ponente el Ilmo. Sr. Magistrado Don ... ANTECEDENTES DE HECHO PRIMERO.- Admitido el recurso, y previos los oportunos trámites, se confirió traslado a la representación de la parte actora para que formalizara escrito de demanda, lo que hizo formulando las alegaciones de hecho y de derecho que estimó oportunas, concluyendo con la súplica de una sentencia estimatoria del recurso, con anulación del acto recurrido. SEGUNDO.- Dándose traslado de la demanda al Abogado del Estado, lo hizo, alegando en derecho lo que estimó conveniente, solicitando la confirmación en todos los extremos del acuerdo recurrido. TERCERO.- Habiéndose solicitado el recibimiento a prueba, por auto de 4 de diciembre de 2002 se acordó no haber lugar a dicho recibimiento. Contra la anterior resolución no se interpuso recurso alguno. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 476 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

CUARTO.- No estimándose necesaria la celebración de vista pública, se emplazó a las partes para que evacuaran el trámite de conclusiones, lo que llevaron a efecto, presentando cada una de ellas el correspondiente escrito. QUINTO.- Conclusas las actuaciones, se señaló para la votación y fallo la audiencia del día 20 de abril de 2004, en que tuvo lugar, quedando el recurso visto para sentencia. VISTOS los preceptos que se citan por las partes y los de general aplicación. FUNDAMENTOS DE DERECHO PRIMERO.- Como consecuencia de un expediente sancionador incoado al Ayuntamiento recurrente, el Director de la Agencia de Protección de Datos, declaró que esa Corporación municipal había infringido lo dispuesto en el art. 4.2 de la Ley Orgánica 15/1999, de 13 de diciembre (RCL 1995, 3058) de Protección de Datos de Carácter Personal, lo que supone una infracción tipificada como grave en el art. 44.3.d) de dicha Ley. Al propio tiempo requería al “AYUNTAMIENTO”, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una infracción del art. 4.2 de la Ley Orgánica 15/1999. SEGUNDO.- La resolución impugnada consigna como hechos probados los siguientes: 1º: El Alcalde del “AYUNTAMIENTO” envió, con fecha 4 de mayo de 2001, una carta a los vecinos empadronados en esa localidad nacidos en (... ...), informándoles que durante la Semana Santa había visitado (... ...) a raíz de la invitación de su Alcalde, al que había invitado a visitar (... ..) coincidiendo con la celebración del 50 Aniversario de la (... ...) (folio 2). 2º: Con fecha 18 de agosto de 2001, se recibió en esta Agencia de Protección de Datos un escrito de un concejal del Grupo Popular del “AYUNTAMIENTO”, en el que exponía que la utilización de los datos del Padrón Municipal de Habitantes expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 477 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

realizado por el Alcalde de ese Ayuntamiento para escribir a los vecinos nacidos en (... ..), podía vulnerar la Ley Orgánica de Protección de Datos (RCL 1995, 3058). 3º: El fichero denominado (... .) figura inscrito en el Registro General de Protección de Datos con el código número (... .). En el apartado de Finalidad del Fichero y Usos Previstos figura: «Gestión del Registro de Residente y Transeúntes del término municipal». TERCERO.- La parte actora en su escrito de demanda alega que existe una errónea apreciación por parte de la Agencia de protección de datos sobre la naturaleza, funciones y régimen legal del Padrón Municipal, al servicio de las competencias y actividades municipales; que en un supuesto análogo la Propia Agencia resolvió archivar las actuaciones por estimar que la actividad municipal se encuadraba dentro de las finalidades del Padrón Municipal, y así mismo que el Tribunal Superior de Justicia de Madrid dictó una sentencia por la que anula una sanción impuesta por la APD en un caso de utilización de datos del censo por un grupo municipal, y por último infracción del art. 79.1 de la Ley 30/92 (RCL 1992, 2512, 2775 y RCL 1993, 246), porque en la resolución no se han tenido en cuenta. CUARTO.- Entrando en el examen de la última alegación, porque al tratarse de una infracción formal su estimación haría innecesario el enjuiciamiento de las restantes cuestiones. Sobre los defectos formales, ha de ponerse de manifiesto, que esta Sala viene manteniendo que la infracción de normas procedimentales puede graduarse de una triple forma en cuanto que puede dar lugar a un motivo de nulidad de pleno derecho por omisión total y absoluta de trámites esenciales [art. 62.1.e) de la Ley 30/92 (RCL 1992, 2512, 2775 y RCL 1993, 246)] o, si se está ante un procedimiento sancionador, por participar de la indefensión prevista en el art. 24.1 de la Constitución (RCL 1978, 2836) en relación con los diferentes contenidos del párrafo 2 [art. 62.2.a)]; fuera de ese supuesto la indefensión puede constituir un simple motivo de mera anulabilidad (art. 63.2 in fine) o bien, como última manifestación, puede dar lugar a una mera irregularidad no invalidante ya que por tratarse de una simple infracción de tipo formal y no real o material es susceptible de subsanación bien sea en vía administrativa previa o bien por los expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 478 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

propios trámites del proceso judicial; en consecuencia, fuera de los supuestos de nulidad de pleno derecho sólo tienen alcance anulatorio aquellas infracciones del procedimiento que hayan dejado al interesado en una situación de indefensión real o material por dictarse una resolución contraria a sus intereses sin haber podido alegar o no haber podido probar. No está de más recordar que la indefensión relevante a estos efectos es una indefensión no meramente formal, sino material, es decir, la que haya limitado o privado al recurrente de su derecho de defensa. En efecto, para que la indefensión tenga la eficacia invalidante que se pretende, es preciso que no se trate de meras irregularidades procedimentales, sino de defectos que causen una situación de indefensión de carácter material, no meramente formal, esto es, que la misma haya originado al recurrente un menoscabo real de su derecho de defensa causándole un perjuicio real y efectivo (SSTC 155/1988, de 22 de julio [RTC 1988, 155] , F. 4; 212/1994, de 13 de julio [RTC 1994, 212], F. 4; 137/1996, de 16 de septiembre [RTC 1996, 137] , F. 2; 89/1997, de 5 de mayo [RTC 1997, 89] , F. 3; 78/1999, de 26 de abril [RTC 1999, 78] , F. 2, entre otras). En el caso de autos la parte ha tenido ocasión de formular cuanto ha considerado oportuno a la mejor defensa de sus derechos e intereses en el procedimiento administrativo. Si bien, lo alegado por la parte no implica que debe ser aceptado inexorablemente por la Administración y que lo contrario suponga vulneración de lo dispuesto en el art. 79.1 de la Ley 30/92 (RCL 1992, 2512, 2775 y RCL 1993, 246), donde se establece que las alegaciones y los documentos aportados por el interesado serán tenidas en cuenta por el órgano competente al redactar la correspondiente propuesta de resolución, porque ello supondría en todo caso, siguiendo la tesis actora, la admisión de lo pretendido o la concesión de lo solicitado. La hermenéutica del precepto ha de entenderse en el sentido de que las alegaciones «tenidas en cuenta», no implica que deban ser aceptadas, porque nadie tiene derecho a que le den la razón, sino valoradas. Y en ese sentido ha de decirse que la Administración a lo alegado por el “AYUNTAMIENTO” lo ha tenido expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 479 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

en cuenta y lo ha valorado, pero con la consecuencia contraria a sus intereses. QUINTO.- Entrando ya a estudiar el fondo del asunto, debemos comenzar señalando que el régimen jurídico del Padrón Municipal viene recogido en los artículos 15 y siguientes de la Ley de Bases de Régimen Local (RCL 1985, 799, 1372) , en la redacción dada por la Ley 4/1996, de 10 de enero (RCL fichero (... mantener el fichero previsto legalmente. 1996, 92), normativa que debe considerarse como la disposición reguladora del ..), en cuyo cumplimiento los municipios deben organizar y En cuanto a su naturaleza jurídica se concibe como un registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos (artículo 16.1 de la Ley 7/85, modificada por la Ley 4/96). Los datos que se inscriben en el Padrón municipal son los siguientes: a) Nombre y apellidos. b) Sexo. c) Domicilio habitual. d) Nacionalidad. e) Lugar y fecha de nacimiento. f) Número de documento nacional de identidad o, tratándose de extranjeros, del documento que lo sustituya, g) Certificado o título escolar o académico que se posea. h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral siempre que se garantice el respeto a los derechos fundamentales expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 480 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

reconocidos en la Constitución (Artículo 16.2 de dicha Ley). En el apartado 3 artículo 16 de la Ley 7/85, modificada por la Ley 4/96, se permite la cesión de los datos del Padrón municipal a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. Por su parte, la Disposición adicional segunda, apartado segundo de la Ley Orgánica 15/1999, indica: «Los ficheros o registros de población tendrán como finalidad la comunicación de los distintos órganos de cada administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico administrativas derivadas de las competencias respectivas de las Administraciones Públicas». De este precepto de la Ley de Protección de Datos de Carácter Personal se conciben los ficheros o registros de población, entre los que cabe incluir al Padrón municipal, como un elemento de comunicación entre los distintos órganos de las administraciones públicas y de los ciudadanos, y que su uso vendrá determinado en el cumplimiento de las competencias que por el ordenamiento jurídico le viene atribuido. SEXTO.- En el caso que enjuiciamos se contempla el supuesto en el que el Alcalde del “AYUNTAMIENTO” envió, una carta a los vecinos empadronados en esa localidad nacidos en (... ..), informándoles que durante la Semana Santa había visitado (... ..) a raíz de la invitación de su Alcalde, al que había invitado a visitar (... ..) coincidiendo con la celebración del 50 Aniversario de la (... ..). juicio de la Corporación recurrente, la comunicación con los vecinos de (... ...) nacidos en (... ..), para lo que usó el Padrón Municipal, constituye la realización de una determinada actividad pública de hermanamiento entre dos ciudades, invitándoles a participar en dicho proceso como elemento de política de integración y cohesión social. Postura que comparte la Sala, puesto que es competencia municipal: «La prestación de los servicios sociales y de promoción y reinserción social» [25.2.k) expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 481 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

LBRL]. Al propio tiempo, el art. 69.1 de la misma norma impone a las Corporaciones locales la obligación de facilitar la más amplia información sobre su actividad y la participación de todos los ciudadanos en la vida local, pudiendo el Municipio promover toda clase de actividades y prestar cuantos servicios públicos contribuyan a satisfacer las necesidades y aspiraciones de la comunidad vecinal (art. 25.1 LBRL), correspondiendo al Alcalde la representación del Ayuntamiento [art. 2 1.b) LBRL]. Así las cosas, no puede mantenerse que la utilización por el Alcalde del “AYUNTAMIENTO” de unos datos obtenidos del Padrón municipal para remitir las cartas a los vecinos nacidos en (... ..), haya vulnerado el art. 4.2 de la Ley Orgánica 15/1999 LPDP, porque dichos datos no se utilizaron para una finalidad incompatible con aquellas para las que los datos hubieran sido recogidos, sino precisamente para el ejercicio de unas competencias municipales, como son las de integración social, que alcanza especial relevancia en territorios con alto índice de población originaria de otras zonas del territorio nacional que un buen día se vieron obligados a dejar su tierra en busca de mejores condiciones de vida. Pues bien, esa actividad pública municipal encaminada a cultivar los lazos de unión entre los pueblos, a que no se produzca una pérdida de su identidad, evitando su desarraigo a las siguientes generaciones, entra dentro de las funciones competenciales que el ordenamiento jurídico atribuye a los municipios, y en ningún caso puede considerarse que los hechos imputados son constitutivos de la infracción del art. 4.2 de la Ley Orgánica 15/1999 LPDP. Razones todas ellas que conducen a la estimación del curso. SEPTIMO: No concurren las causas expresadas en el art. 139 de la LJCA (RCL 1998, 1741) para imponer las costas a ninguna de las partes. FALLAMOS:

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 482 de 609

PROCEDIMIENTOS SANCIONADORES – PADRÓN DE HABITANTES Audiencia Nacional

Que

estimamos

el

recurso

contencioso-administrativo

interpuesto

por

la

representación procesal del “AYUNTAMIENTO”, contra el acto impugnado, que declaramos no conforme al ordenamiento jurídico, por lo que es anulado; sin costas. Así, por esta nuestra sentencia de la que se llevará testimonio a las actuaciones, lo pronunciamos, mandamos y firmamos. PUBLICACIÓN.- Leída y publicada fue la anterior sentencia por el Ilmo. Sr. Magistrado Ponente de la misma, hallándose celebrando audiencia pública en la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional. Lo que certifico.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 483 de 609

VII) TRIBUTARIO

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 484 de 609

INFORMES JURÍDICOS CESIÓN DE DATOS TRIBUTARIOS DE DIPUTACIÓN A AYUNTAMIENTO, LEY HABILITANTE ......................................................................................................................................................... 486 COMUNICACIÓN DE DATOS LABORALES Y DE COTIZACIÓN POR CONCESIONARIO DE SUBVENCIONES PÚBLICAS AL ORGANISMO CONVOCANTE ................................................. 492 SOLICITUD POR PARTE DE LOS ÓRGANOS DIRECTIVOS DE UN AYUNTAMIENTO DE LOS DATOS TRIBUTARIOS DE LOS VECINOS DEL MUNICIPIO........................................................ 495

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 485 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

CESIÓN DE DATOS TRIBUTARIOS DE DIPUTACIÓN A AYUNTAMIENTO, LEY HABILITANTE La consulta plantea si tienen el carácter de datos personales y si es posible la cesión de los que cita por parte del Organismo Autónomo de Gestión Tributaria y Recaudación de la Diputación de Cuenca consultante al Ayuntamiento de esta ciudad sin el consentimiento de los afectados titulares de dichos datos, conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. I En primer lugar, para dar respuesta a si los datos referidos en la consulta (datos bancarios de número de cuenta corriente, NIF e identificación de sus titulares, domiciliación de recibos y expedientes en vía de apremio, entre otros) son datos personales, hay que atender a la definición de nos da de los mismos el artículo 3 a) de la Ley Orgánica 15/1999 que dice: “Datos de carácter personal: cualquier

información

concerniente

a

personas

físicas

identificadas

o

identificables.” Así mismo esta definición se ve completada por el artículo 5. 1 f) del Real Decreto 1720/2007 que desarrolla la Ley y que define como dato de carácter

personal

“cualquier

información

numérica,

alfabética,

gráfica,

fotográfica, acústica o de cualquier otro tipo concerniente a las personas físicas identificadas o identificables.” No define la Ley Orgánica 15/1999 qué debe entenderse por persona identificable, sin embargo la Directiva 95/46 del Parlamento Europeo y del Consejo de 24 de octubre, de la que es una transposición la citada Ley, en el apartado a) de su artículo 2 nos dice que se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos,

característicos

de

su

identidad

física,

fisiológica,

psíquica,

económica, cultural o social. En términos similares se ha recogido dicha definición en el Real Decreto 1720/2007 cuyo artículo 5. 1 o) señala: “Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 486 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

identificable

si

dicha

información

requiere

plazos

o

actividades

desproporcionados.” Es reiterada la consideración del DNI como dato de carácter personal por parte de esta Agencia Española de Protección de Datos y el resto de los datos solicitados por el Ayuntamiento de Cuenca, constituyen datos de información económica que permiten fácilmente asociarlos a su titular, por lo que les sería de aplicación la Ley Orgánica 15/1999. II La transmisión de los datos que refiere la consulta supondrá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta disposición se ve complementada en el supuesto que ahora nos ocupa por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica, del cual se desprende que será posible la cesión cuando una Ley lo permita. Dado que la cesión se realizará en el presente supuesto entre dos órganos de la Administración Pública Local, el Ayuntamiento y la Diputación, debe analizarse si procede la aplicación del artículo 21.1 de la LO 15/1999 según el cual “ Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados

a

otras

Administraciones

públicas

para

el

ejercicio

de

competencias diferentes o de competencias que versen sobre materias distintas, salvo, cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.” Y en su número 4 señala que “En los supuestos previstos en los apartados 1 y 2 del presente artículo no será necesario el consentimiento del afectado a que se refiere el artículo 11 de la expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 487 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

presente Ley.” Lo decisivo es la prohibición expresa de que los datos se comuniquen para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas a aquellas que motivaron la recogida de los datos, de modo que para que pueda procederse a la cesión descrita en la consulta sin el consentimiento de los interesados, la petición de datos formulada por el Ayuntamiento debería determinar con claridad que los datos se solicitan para el ejercicio de competencias sobre la misma materia, sin que en el escrito de consulta se especifique la finalidad a la que pretende destinar los datos el citado Ayuntamiento, siendo especialmente relevante a estos efectos que la cesión se amparase en el ejercicio de competencias tributarias, lo que parece muy probable si atendemos a que los datos cuya cesión se solicita a la Diputación se refieren únicamente a los “contribuyentes” de la ciudad de Cuenca. Debe recordarse, al tratar de este artículo que la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre ha declarado contrario a la Constitución y nula la previsión que contenía el artículo 21.1 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, según la cual la cesión

entre

Administraciones

Públicas

resultaba

posible

cuando

la

comunicación hubiere sido prevista por las Disposiciones de creación del fichero o por Disposición de superior rango que regule su uso, por cuanto viene a considerar que la reserva de Ley prevista con carácter general por la Ley Orgánica 15/1999 para la cesión de datos de carácter personal ha de considerarse igualmente predicable en los supuestos de cesión de datos entre Administraciones Públicas, siendo contraria a la Constitución la posibilidad de habilitar dicha cesión con base en una norma de rango reglamentario. De este modo, la citada Sentencia considera que, en caso de que una norma con rango de Ley no dé cobertura a una cesión entre Administraciones Públicas, la misma sólo podrá tener lugar como consecuencia del ejercicio por cedente y cesionaria de unas mismas competencias. En el supuesto de que no fuera aplicable a este caso el artículo 21.1 de la LO 15/1999, porque los datos fueran a utilizarse por el Ayuntamiento para el expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 488 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

ejercicio de competencias sobre diferentes materias, la cesión deberá cumplir lo previsto en el artículo 11.1 de la Ley Orgánica 15/1999 que dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Y el número 2 del mencionado artículo regula una serie de supuestos en los que se excluye la necesidad de recabar el consentimiento. Así, la consulta planteada podría encajar en el apartado a) pues se excluye la necesidad de recabar el consentimiento, cuando una ley autorice la cesión. III En relación con los ficheros de naturaleza tributaria, debe señalarse que, en este último supuesto, el artículo 2.2 del Real Decreto Legislativo 2/2004, de 5 de marzo por el que se aprueba el Texto Refundido de la Ley Reguladora de las Haciendas Locales, consagra el principio de que “para la cobranza de los tributos y de las cantidades que como ingresos de Derecho público debe percibir la Hacienda de las Entidades locales, de conformidad con lo previsto en el apartado anterior, dicha Hacienda ostentará las prerrogativas establecidas legalmente para la Hacienda del Estado, y actuará, en su caso, conforme a los procedimientos administrativos correspondientes”. Ello supone que, en el ejercicio de sus competencias, resultarán de aplicación a las Haciendas Locales las mismas prerrogativas que la Ley General Tributaria atribuye a la Hacienda Estatal, lo que tiene una enorme trascendencia en lo que se refiere a la aplicación de las normas reguladoras de la protección de datos de carácter personal. Así, en relación con la cesión de datos de aquellas personas que figuran como contribuyentes serán de aplicación en este caso las previsiones contenidas en el artículo 95 de la Ley 57/2003, de 17 de diciembre, General Tributaria, cuyo apartado primero establece:

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 489 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

“Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: a) La investigación o persecución de delitos públicos por los órganos jurisdiccionales o el Ministerio Público. b) La colaboración con otras Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias. c) La colaboración con la Tesorería General de la Seguridad Social para el correcto desarrollo de los fines recaudatorios encomendados a la misma. d) La colaboración con cualesquiera otras Administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos o de la Unión Europea. e) La colaboración con las comisiones parlamentarias de investigación en el marco legalmente establecido f) La protección de los derechos e intereses de los menores e incapacitados por los órganos jurisdiccionales o el Ministerio Público g) La colaboración con el Tribunal de Cuentas en el ejercicio de sus funciones de fiscalización de la Agencia Estatal de la Administración tributaria h) La colaboración con los Jueces y Tribunales para la ejecución de resoluciones judiciales firmes. La solicitud de información exigirá resolución expresa, en la que previa ponderación de los intereses públicos y privados afectados en el asunto de que se trate y por haberse agotado lo demás medios o fuentes de conocimiento sobre la existencia de bienes o derechos del deudor, se motive la necesidad de recabar datos de la Administración tributaria. i) La colaboración con la Comisión de Vigilancia de Actividades de Financiación del Terrorismo en el ejercicio de sus funciones, de acuerdo con lo expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 490 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

previsto en el artículo 8 de la Ley de Prevención y Bloqueo de la Financiación del Terrorismo. j) La colaboración con el Servicio Ejecutivo creado por la Ley 19/1993, de 28 de diciembre, sobre Determinadas Medidas de Prevención del Blanqueo de Capitales, en las actividades que dicho servicio lleve a cabo en el ámbito de lo previsto en el artículo 1 de la mencionada Ley.” De ello se desprende que los datos sometidos a tratamiento para finalidades de trascendencia tributaria únicamente podrán ser cedidos a los Órganos de la Corporación Municipal que ostenten competencias en dicha materia, sin que sea posible su utilización por otros Órganos o dependencias salvo en los supuestos en que la Ley diera cobertura a dicho tratamiento. IV Por último, y en respuesta a si sería ilegal solicitar el consentimiento previo a la cesión de datos aunque éste no fuera necesario, hay que decir que dicha conducta no aparece tipificada como infracción en ninguno de los supuestos recogidos por el artículo 44 en relación con los artículos 43 y 46 de la Ley Orgánica 15/1999, por lo que desde la óptica de la protección de datos no sería sancionable. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal,

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 491 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

COMUNICACIÓN DE DATOS LABORALES Y DE COTIZACIÓN POR CONCESIONARIO DE SUBVENCIONES PÚBLICAS AL ORGANISMO CONVOCANTE La consulta plantea si resulta conforme a las previsiones contenidas en la Ley Orgánica 11/1999, de 13 de diciembre de Protección de Datos de Carácter personal, la comunicación de los datos de carácter personal contenidos en las nóminas, TC-1 y TC-2 de los trabajadores de beneficiarios de subvenciones públicas al organismo consultante que otorga las mismas. I Como punto de partida es preciso señalar que la transmisión planteada implica la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado” Tal y como indica el artículo 11.1 de la Ley Orgánica 15/1999 “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, no sería preciso contar con el consentimiento del afectado en caso de que una norma con rango de Ley habilite la cesión prevista, tal y como dispone el artículo 11.2 a) de la Ley. Tratándose de una subvención otorgada por una Diputación Provincial, resultará de aplicación a la misma lo dispuesto en la Ley 38/2003, de 17 de noviembre, General de Subvenciones, en virtud de lo dispuesto en su artículo 2.2 b). Según indica el artículo 22 de la Ley 38/2003, “la iniciación de oficio se realizará siempre mediante convocatoria aprobada por el órgano competente, que desarrollará el procedimiento para la concesión de las subvenciones convocadas según lo establecido en este capítulo y de acuerdo con los principios de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y tendrá expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 492 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

necesariamente el siguiente contenido: (...) e) Requisitos para solicitar la subvención y forma de acreditarlos”. Esta misma regulación es la que se recoge en el artículo 19 de la Ley 9/2007, de 13 de junio, de Subvenciones de Galicia. Al propio tiempo, el artículo 17 de la Ley establece los requisitos que habrán de tener las bases de la concesión de la correspondiente subvención, de la misma forma que lo hace el artículo 14 de la citada Ley Autonómica. De este modo, si la convocatoria de la subvención y las bases establecieran

como

requisito

para

la

obtención

de

la

subvención

el

conocimiento del gasto de los salarios y cotizaciones de los trabajadores de la correspondiente asociación, así como la obligación de acreditar los referidos gastos con los documentos señalados anteriormente, podría considerarse amparada la comunicación de los datos en lo dispuesto en los mencionados preceptos, en relación con el artículo 11.2 a) de la Ley Orgánica 15/1999. No obstante, para que ello fuese posible sería asimismo necesario que la exigencia de los datos concretos de los trabajadores cumpliese el principio de proporcionalidad, previsto en el artículo 4.1 de la Ley Orgánica 15/1999, a cuyo tenor “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. De este modo, para que la cesión fuese conforme a la Ley Orgánica sería necesario que el conocimiento de los datos referidos a los concretos trabajadores fuera imprescindible para la obtención de la subvención, de forma que no bastase para ello el mero conocimiento y certificación del número de trabajadores u otra variable similar. En conclusión, la cesión a la que se refiere la consulta resultará conforme a lo dispuesto en la Ley Orgánica 15/1999 en caso de que las bases y convocatoria de la subvención establezcan la necesidad de aportar esta información y los concretos datos de los trabajadores sean necesarios para que pueda valorarse el cumplimiento de los requisitos necesarios para dicha obtención. expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 493 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

Como quiera que en la consulta se señala que las Bases de convocatorias de subvenciones en régimen de concurrencia, así como en los convenios nominativos exigen que los gastos de personal se acrediten mediante la presentación de los originales o copia compulsada de las nóminas y TC-2 y TC-1 de las cotizaciones abonadas, y tales datos sean necesarios para que pueda valorarse el cumplimiento de los requisitos necesarios para dicha obtención, podemos señalar que la cesión solicitada estaría amparada en la Ley Orgánica 15/1999. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal,

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 494 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

SOLICITUD POR PARTE DE LOS ÓRGANOS DIRECTIVOS DE UN AYUNTAMIENTO DE LOS DATOS TRIBUTARIOS DE LOS VECINOS DEL MUNICIPIO. La consulta plantea, si al amparo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal pueden comunicarse a los Órganos Superiores del Ayuntamiento los datos tributarios de los vecinos del mencionado municipio. La transmisión de los datos que refiere la consulta supondrá una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta disposición se ve complementada en el supuesto que ahora nos ocupa por lo dispuesto en el artículo 11.2 a) de la Ley Orgánica, del cual se desprende que será posible la cesión cuando una Ley lo permita. En relación con los ficheros de naturaleza tributaria, debe señalarse que, en este último supuesto, el artículo 2.2 del Real Decreto Legislativo 2/2004, de 5 de marzo por el que se aprueba el Texto Refundido de la Ley Reguladora de las Haciendas Locales, consagra el principio de que “para la cobranza de los tributos y de las cantidades que como ingresos de Derecho público debe percibir la Hacienda de las Entidades locales, de conformidad con lo previsto en el apartado anterior, dicha Hacienda ostentará las prerrogativas establecidas legalmente para la Hacienda del Estado, y actuará, en su caso, conforme a los procedimientos administrativos correspondientes”. Ello supone que, en el ejercicio de sus competencias, resultarán de aplicación a las Haciendas Locales las mismas prerrogativas que la Ley General Tributaria atribuye a la Hacienda Estatal, lo que tiene una enorme trascendencia expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 495 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

en lo que se refiere a la aplicación de las normas reguladoras de la protección de datos de carácter personal. Así, en relación con la cesión de datos de aquellas personas que figuran como contribuyentes serán de aplicación en este caso las previsiones contenidas en el artículo 95 de la Ley 57/2003, de 17 de diciembre, General Tributaria, cuyo apartado primero establece: “Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto: a) La investigación o persecución de delitos públicos por los órganos jurisdiccionales o el Ministerio Público. b) La colaboración con otras Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias. c) La colaboración con la Tesorería General de la Seguridad Social para el correcto desarrollo de los fines recaudatorios encomendados a la misma. d) La colaboración con cualesquiera otras Administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos o de la Unión Europea. e) La colaboración con las comisiones parlamentarias de investigación en el marco legalmente establecido f) La protección de los derechos e intereses de los menores e incapacitados por los órganos jurisdiccionales o el Ministerio Público g) La colaboración con el Tribunal de Cuentas en el ejercicio de sus funciones de fiscalización de la Agencia Estatal de la Administración tributaria h) La colaboración con los Jueces y Tribunales para la ejecución de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 496 de 609

INFORMES JURÍDICOS – TRIBUTARIO Agencia Española de Protección de Datos

resoluciones judiciales firmes. La solicitud de información exigirá resolución expresa, en la que previa ponderación de los intereses públicos y privados afectados en el asunto de que se trate y por haberse agotado lo demás medios o fuentes de conocimiento sobre la existencia de bienes o derechos del deudor, se motive la necesidad de recabar datos de la Administración tributaria. i) La colaboración con la Comisión de Vigilancia de Actividades de Financiación del Terrorismo en el ejercicio de sus funciones, de acuerdo con lo previsto en el artículo 8 de la Ley de Prevención y Bloqueo de la Financiación del Terrorismo. j) La colaboración con el Servicio Ejecutivo creado por la Ley 19/1993, de 28 de diciembre, sobre Determinadas Medidas de Prevención del Blanqueo de Capitales, en las actividades que dicho servicio lleve a cabo en el ámbito de lo previsto en el artículo 1 de la mencionada Ley.” De ello se desprende que los datos sometidos a tratamiento para finalidades de trascendencia tributaria únicamente podrán ser cedidos a los Órganos de la Corporación Municipal que ostenten competencias en materia tributaria, sin que sea posible su utilización por otros Órganos o dependencias. En consecuencia, según se desprende del contenido de la consulta los Órganos que solicitan la información no son competentes en materia tributaria, y al no resulta aplicable ninguna de las excepciones del artículo 95 de la Ley General Tributaria, y dado el carácter reservado de dicha información, no se podrán ceder los datos de trascendencia tributaria a los Órganos enumerados en el artículo 130 de la Ley 7/1985, de 2 de abril de Bases del Régimen Local.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 497 de 609

VIII) PROVEEDORES DE SERVICIOS CON ACCESO A DATOS

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 498 de 609

INFORMES JURÍDICOS CARÁCTER DE RESPONSABLE O ENCARGADO DE ENTIDADES GESTORAS DE SERVICIOS MUNICIPALES. ............................................................................................................................... 500 CONCESIÓN INDIRECTA DE SERVICIOS PÚBLICOS Y ENCARGADO DEL TRATAMIENTO. iNFORME 303/2006 ........................................................................................................................ 504

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 499 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

CARÁCTER DE RESPONSABLE O ENCARGADO DE ENTIDADES GESTORAS DE SERVICIOS MUNICIPALES. La consulta plantea si resulta de aplicación lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, en el caso de gestión de servicios municipales por parte de una entidad privada o de una Diputación Provincial. Para analizar la cuestión planteada, debe partirse de los conceptos de responsable y encargado del tratamiento contenidos en la Ley Orgánica 15/1999. Así, será responsable del fichero o del tratamiento, conforme al artículo 3 d) de la Ley, “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Por su parte, es encargado del tratamiento, según el artículo 3 g), “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. Asimismo, a los efectos del presente supuesto es relevante tener en consideración lo dispuesto en último párrafo del artículo 20.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real decreto 1720/2007, de 21 de diciembre, según el cual “se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”. De este modo, la existencia de un encargado del tratamiento vendrá delimitada por la concurrencia de dos características derivadas de la normativa anteriormente citada: la imposibilidad de decisión sobre la finalidad, contenido y uso del tratamiento y la inexistencia de una relación directa entre el afectado y el encargado, que deberá en todo caso obrar en nombre y por cuenta del responsable como si la relación fuese entre éste y el afectado. La consulta se refiere a la gestión “de servicios administrativos”, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 500 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

haciéndose referencia a algunos tales como el de agua o recogida de basuras. A tal efecto, debe recordarse que el articulo 8.1 de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público define el contrato de gestión de servicios públicos, señalando que “El contrato de gestión de servicios públicos es aquél en cuya virtud una Administración Pública encomienda a una persona, natural o jurídica, la gestión de un servicio cuya prestación ha sido asumida como propia de su competencia por la Administración encomendante”. A su vez, dispone el artículo 251.1 que “La Administración podrá gestionar indirectamente, mediante contrato, los servicios de su competencia, siempre que sean susceptibles de explotación por particulares. En ningún caso podrán prestarse por gestión indirecta los servicios que impliquen ejercicio de la autoridad inherente a los poderes públicos”, regulando el artículo 253 sus modalidades de contratación de concesión, gestión interesada, concierto y sociedad de economía mixta. Por su parte, la disposición adicional trigésimo primera dispone en el primer párrafo de su apartado 2 que “Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad

contratante, aquél

tendrá la consideración de

encargado del tratamiento”. Lo dispuesto en el mencionado precepto no implica necesariamente que en la totalidad de los supuestos en los que como consecuencia de la celebración de un contrato sujeto a la Ley 30/2007 la entidad adjudicataria acceda a datos de carácter personal de los administrados su condición será la de encargado del tratamiento, sino que tal situación se dará en los supuestos en los que la condición de responsable, es decir dotada del poder de decisión sobre la finalidad, contenido y uso del tratamiento, sólo pueda predicarse de la Administración contratante. En consecuencia, es posible que la celebración de un contrato administrativo genere una relación directa entre el adjudicatario y el administrado, lo que otorgará a aquél la condición de responsable del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 501 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

tratamiento, produciéndose una cesión de datos de la Administración contratante al adjudicatario, que tendrá su fundamento en la propia naturaleza del contrato descrita en la Ley de Contratos del Sector público y, por ende, en el artículo 11.2 a) de la Ley Orgánica 15/1999. Para delimitar los supuestos en los que el adjudicatario tendrá la condición de responsable o encargado del tratamiento deberá partirse, precisamente, de la propia naturaleza del contrato y de las consecuencias de su celebración, en el sentido de determinar si de la adjudicación se derivará el nacimiento de una relación directa entre quien gestiona el servicio público y el administrado que hace uso de tal servicio. La delimitación nacerá precisamente de lo que señala el artículo 251.1 de la Ley 30/2007, dado que cuando lo que se contrata o concierta es la colaboración de una entidad pública o privada o de otra Administración en el ejercicio por la Administración competente de una determinada potestad de derecho público, la misma no se desplaza de la competente a la entidad o Administración contratada para el ejercicio de dicha potestad, sino que permanece en la propia Administración titular de la competencia, actuando aquélla como un representante de ésta. Así sucederá, por ejemplo, en caso de que una Diputación Provincial u otra entidad local o una empresa municipal, colabore con un Ayuntamiento en la gestión tributaria, de conformidad con lo dispuesto en la Ley reguladora de las Bases del Régimen Local. En ese supuesto, será el propio Ayuntamiento, como titular de la potestad tributaria en el ámbito municipal, quien siga ostentando la condición de responsable del fichero, no pudiendo ser la entidad colaboradora más que una encargada del tratamiento que, por ejemplo, recauda el tributo municipal en nombre y por cuenta del titular de la potestad tributaria. Sin embargo, en los supuestos en los que se produce la celebración de un contrato de gestión de servicios públicos, lo que exigirá que el objeto del contrato no se encuentre vinculado al ejercicio de potestades de derecho público o de “potestades inherentes a los poderes públicos”, en términos de la Ley 30/2007, la ejecución del contrato llevará aparejada la creación de una expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 502 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

relación directa entre la entidad adjudicataria y el administrado, de forma que, teniendo en cuenta las modalidades previstas en el artículo 253 de la citada Ley, el adjudicatario facturará directamente y en su propio nombre al administrado el servicio prestado, no apareciendo tal facturación vinculada al ejercicio de potestades públicas ni encontrándose sometida al derecho administrativo, teniendo en consecuencia el administrado la condición de “cliente” del servicio prestado por la entidad adjudicataria. En estos casos, cabrá considerar que dicha entidad que gestiona el servicio público tiene la condición de responsable del fichero y no de encargada del tratamiento. Así sucederá en el ejemplo al que se refiere documentalmente la consulta, en que la empresa adjudicataria de la gestión de servicios de suministro de agua mantendrá, en principio, una relación directa con los vecinos, siendo responsable de los ficheros relacionados con la prestación de ese servicio. No obstante, si se encomendasen a la misma empresa otras actividades, como por ejemplo, la recaudación de tasas municipales, la misma tendría en relación con los ficheros vinculados a esa labor recaudatoria, la condición de encargada del tratamiento, dado que la tasa únicamente podrá ser recaudada en nombre y por cuenta de la Administración titular de la potestad tributaria. Es cuanto tiene el honor de informar, Madrid, 24 de septiembre de 2008.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 503 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

CONCESIÓN INDIRECTA DE SERVICIOS PÚBLICOS Y ENCARGADO DEL TRATAMIENTO. INFORME 303/2006 La consultante plantea que figura jurídica deben utilizar para regular la relación mantenida con la Administración Pública, fruto de la concesión de gestión indirecta de servicios públicos y si existe cesión de datos o acceso a datos por cuenta de terceros, en los supuestos en que como prestadores de servicio, le son comunicados datos personales por parte del Ayuntamiento, con la finalidad de realizar su actividad. Con carácter general, debe recordarse que el artículo 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, establece que “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”, haciendo con ello referencia a la figura del encargado del tratamiento, definida en el articulo 3 g) de la propia Ley como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. Para delimitar si en un supuesto concreto nos encontramos ante una cesión de datos o ante una realización de actividades reguladas por el artículo 12 de la Ley Orgánica, será preciso atender a las circunstancias de cada caso, de tal forma que existirá cesión en aquellos supuestos en los que quien reciba los datos pueda aplicar los mismos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertirá a su vez en un responsable del fichero o tratamiento, mientras que la figura regulada por el artículo 12 de la Ley Orgánica tendrá cabida en aquellos otros casos en que la entidad receptora de los datos se limite a efectuar determinadas operaciones sobre los mismos, sin decidir sobre su finalidad, restituyendo los datos al responsable una vez concluida la prestación contratada con aquel. A nuestro juicio, en el supuesto planteado, entendemos que cuando el Municipio facilita el Padrón municipal al concesionario, con la única finalidad de llevar a cabo la prestación de servicios, no pudiendo utilizarlo para ninguna otra y expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 504 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

debiendo devolverlos al Ayuntamiento una vez concluida ésta, dicha actividad encaja en la figura del encargado del tratamiento, la cual se regula en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), aunque es el artículo 3.g) de la misma el que la define como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. En consecuencia, de lo indicado anteriormente se desprende que la entidad consultante tendrá la condición de encargado del tratamiento, dado que actuará en nombre y por cuenta del Municipio, ya que éste es el titular de la actividad y así lo dispone el artículo 155.2 del Texto Refundido de la Ley de Contratos de las Administraciones Públicas, aprobado por Real Decreto Legislativo 2/2000 de 16 de junio que establece que “ Antes de proceder a la contratación de un servicio público, deberá haberse determinado su régimen jurídico básico que atribuya las competencias administrativas, que determine el alcance de las prestaciones a favor de los administrados y que declare expresamente que la actividad de que se trate queda asumida por la Administración respectiva como propia de la misma.” Por todo ello, habrá de considerar al Municipio responsable del fichero ya que decide sobre la finalidad, contenido y uso del tratamiento. No obstante, para que una determinada entidad pueda ser considerada encargada del tratamiento, será preciso cumplir el régimen establecido en el artículo 12 de la Ley Orgánica, que exige, como premisa previa y esencial, la celebración con el responsable de un contrato por escrito o en cualquier otra forma que permita acreditar su celebración y contenido, que deberá especificar las circunstancias previstas por los apartados 2 y 3 del citado precepto. Así lo ha recordado la Audiencia Nacional, en su Sentencia de 19 de noviembre de 2003, en la que se señala que: “Para tener la condición legal de encargado del tratamiento, al que por cierto le es de aplicación el régimen sancionador que establece la Ley Orgánica 15/1999, según dispone el artículo 43.1 de la expresada Ley, es necesario cumplir una serie de exigencias necesarias, que operan a modo de garantías, expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 505 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

establecidas en el artículo 12 de la Ley Orgánica 15/1999. Así es, cuando el tratamiento se realice por cuenta de un tercero debe constar “por escrito o en alguna otra forma que permita acreditar su celebración y contenido”, por lo que no basta con acreditar que existe una relación jurídica entre el responsable del fichero y el encargado del tratamiento, sino que ésta ha de constar por escrito o por otra forma que permita acreditar su “celebración y contenido”. En este sentido, la propia Ley prevé un contenido mínimo del contrato entre las partes en el que deben constar una serie de estipulaciones necesarias, a saber, seguir las instrucciones del responsable del tratamiento, no utilizar los datos para un fin distinto, no comunicarlos a otras personas (artículo 12.2 párrafo primero), estipular las medidas de seguridad del artículo 9 (artículo 12.2 párrafo segundo) y cumplida la prestación destruir los datos o proceder a su devolución al responsable del tratamiento (artículo 12.3). Las garantías a que se hace referencia son las expresamente exigidas por el artículo 12 de la LOPD. En este sentido, la propia Ley prevé un contenido mínimo del contrato entre las partes en el que deben constar una serie de estipulaciones necesarias, a saber, seguir las instrucciones del responsable del tratamiento, no utilizar los datos para un fin distinto, no comunicarlos a otras personas (artículo 12.2 párrafo primero), estipular las medidas de seguridad del artículo 9 (artículo 12.2 párrafo segundo), y cumplida la prestación destruir los datos o proceder a su devolución al responsable del tratamiento (artículo 12.3).” En cuanto al régimen jurídico será el derivado de lo previsto en el artículo 12 de la Ley, caracterizado por las siguientes notas: “En lo que atañe a los requisitos formales, el artículo 12.2 impone que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”. Por lo que respecta al periodo de conservación de los datos, el artículo 12.3 establece que “una vez cumplida la prestación contractual, los datos de expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 506 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”. En lo referente a la cesión de los datos, de lo establecido en el artículo 12.2 se desprende que no procederá esa cesión, de forma que los datos habrán de ser entregados única y exclusivamente al responsable del fichero. La Agencia Española de Protección de Datos ha considerado que será posible la subcontratación de estos servicios siempre y cuando se especifiquen los siguientes requisitos acumulativos, que deberán figurar en el contrato: a) Que los servicios a subcontratar se hayan previsto expresamente en la oferta o en el contrato celebrado entre el responsable del fichero y el encargado del tratamiento. b) Que el contenido concreto del servicio subcontratado y la empresa subcontratista conste en la oferta o en el contrato. c) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. En cuanto a las medidas de seguridad que hayan de ser adoptadas por quienes realicen trabajos de tratamiento de datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero, tal y como se desprende de lo previsto en los artículos 9 y 12.2 de la Ley Orgánica. Por último, según el artículo 12.4, “en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”, siendo, en consecuencia, de aplicación el régimen sancionador establecido en los artículos 43 y siguientes de la Ley, sujetando el primero de ellos al encargado del tratamiento a dicho régimen.” Dado que el concesionario tiene la consideración de encargado del expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 507 de 609

INFORMES JURÍDICOS – PROVEEDORES DE SERVICIOS CON ACCESO A DATOS Agencia Española de Protección de Datos.

tratamiento, no podemos hablar en ningún caso de cesión, por ello la entrega de los datos al terminar la concesión, no requerirá el consentimiento del interesado y la devolución de los datos al responsable del tratamiento, esto es a la Administración, “una vez cumplida la prestación”, se ordena en el apartado 3 del artículo 12 de la Ley Orgánica 15/1999.

expansió[email protected] http://www.gesdatos.com 902.900.231 Avda. Cortes Valencianas 50, 1º-C. CP 46.015, Valencia.

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid

Página 508 de 609

IX) VARIOS

509

A) INFORMES JURÍDICOS TRATAMIENTO PARA UN ORGANISMO PÚBLICO ESPAÑOL DE DATOS DE CIUDADANOS PORTUGUESES. APLICACIÓN DE LA LOPD............................................................................... 511 CESIÓN DE DATOS DE CARÁCTER PERSONAL DE DISTINTOS DEPARTAMENTOS DE UN AYUNTAMIENTO A SUS PROPIOS CORPORATIVOS ................................................................. 513

510

INFORMES JURÍDICOS – VARIOS Agencia Española de Protección de Datos

TRATAMIENTO PARA UN ORGANISMO PÚBLICO ESPAÑOL DE DATOS DE CIUDADANOS PORTUGUESES. APLICACIÓN DE LA LOPD. La consulta plantea la normativa que resulta aplicable al supuesto descrito en la misma, según el cual la consultante va a realizar una determinada campaña publicitaria para una entidad española de promoción turística, recabando datos de ciudadanos portugueses, recabando además sus datos para futuras campañas del mencionado cliente. En relación con la legislación aplicable, establece el artículo 3.1 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que “se regirá por el presente Reglamento todo tratamiento de datos de carácter personal (…) cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español”. En el supuesto planteado, la recogida de los datos parece hacerse en nombre y por cuenta de la institución española que contrata los servicios de la consultante, siendo el mismo, según parece señalarse, un organismo público español. Al propio tiempo, parece indicarse que la actividad del consultante se limitará a la recogida de los datos y a la gestión del sorteo convocado por el cliente, sin que en ningún momento estos datos se incorporen a los ficheros del consultante, por lo que el mismo podría ser considerado encargado del tratamiento, definida esta figura por el artículo 5.1 i) del citado reglamento como “la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”. De este modo, dado que se está haciendo referencia a un tratamiento desarrollado en el ámbito de actuaciones de un establecimiento de un organismo público español, y en consecuencia ubicado en España, será de

511

INFORMES JURÍDICOS – VARIOS Agencia Española de Protección de Datos

aplicación a la recogida y tratamiento de los datos la legislación española. Por tanto, será aplicable al tratamiento de los datos la totalidad de las previsiones contenida en la Ley Orgánica 15/1999, debiendo hacerse referencia somera a algunas cuestiones particularmente relevantes. En primer lugar, será necesario contar con el consentimiento del interesado para el tratamiento de sus datos, tal y como exige el artículo 6.1 de la Ley Orgánica, debiendo dicho consentimiento ir igualmente referido al posible tratamiento posterior de los datos en futuras campañas, no bastando a tal efecto la mera información a la que se refiere la consulta. Igualmente, deberá darse pleno cumplimiento al deber de información e todos y cada uno de los extremos previstos en el artículo 5.1 de la Ley Orgánica, dado que los datos serán recabados del afectado. Además, el responsable del fichero, dado su carácter público, debería adoptar la correspondiente disposición de creación del mismo, conforme exige el artículo 20.1 de la Ley Orgánica 15/1999, procediendo su notificación al Registro General de Protección de Datos. Por último, la relación entre el responsable y el encargado del tratamiento deberá respetar lo dispuesto en el artículo 12 de la Ley Orgánica y en sus disposiciones reglamentarias de desarrollo. Todo ello sin prejuicio del necesario cumplimiento de las restantes previsiones de la Ley Orgánica 15/1999.

512

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

CESIÓN DE DATOS DE CARÁCTER PERSONAL DE DISTINTOS DEPARTAMENTOS DE UN AYUNTAMIENTO A SUS PROPIOS CORPORATIVOS INFORME JURÍDICO QUE SE EMITE EN RELACIÓN A LA CONSULTA REALIZADA POR … DEL EXCMO. AYUNTAMIENTO DE LAUDIO/LLODIO SOBRE “LA POSIBLE COLISIÓN DEL DERECHO DE ACCESO A INFORMACIÓN PARA EL EJERCICIO DE SUS CARGOS POR PARTE DE LOS MIEMBROS DE LAS CORPORACIONES LOCALES CON LA NORMATIVA SOBRE PROTECCIÓN DE DATOS, SINGULARMENTE CON LA LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y CORRESPONDIENTE NORMATIVA DE DESARROLLO” ANTECEDENTES Con fecha 4 noviembre de 2005 tiene entrada en esta Agencia Vasca de Protección de Datos, escrito de … del Ayuntamiento de Laudio/Llodio elevándose consulta en relación al asunto más arriba referenciado. En el escrito de remisión de la consulta se dice que: “Con fecha 30 de septiembre de 2005 (Registro de Entrada núm. 11.582) un concejal de este Ayuntamiento ha presentado solicitud de información dirigida a Alcaldía-Presidencia en los siguientes términos: “SOLICITA: Se ponga a nuestra disposición la siguiente documentación Copia íntegra y actualizada de todos los datos disponibles en este Ayuntamiento sobre extranjeros que estén o hayan estado registrados en los dos últimos años: nombre y apellidos, domicilio, nacionalidad, situación laboral, composición y situación familiar, percepciones sociales (ayudas, subsidios, exenciones…) etc. El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función:

513

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

Atender a las consultas que en materia de protección de datos de carácter personal le formulen las Administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta ley Corresponde a esta Agencia Vasca de Protección de datos en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Como sin dificultad se desprende del correcto planteamiento que se realiza en la consulta, se trata de intentar dar respuesta a la “colisión” existente en el caso planteado entre dos derechos fundamentales. Se tratará a continuación de ofrecer dicha respuesta, intentando, no tanto la vía de elección del derecho fundamental “prioritario” (por utilizar el término utilizado en la Sentencia del Tribunal Superior de Justicia de la Comunidad Valenciana, de 1 de junio de 2005) sino otra, interpretativa y superadora de la anterior que permita armonizar o equilibrar ambos derechos sin menoscabar, en lo fundamental, el ejercicio de los mismos por sus titulares. II Dicho intento bien puede iniciarse con la exposición de los que pueden considerarse principales elementos que de la doctrina del Tribunal Supremo se pueden extraer en relación al contenido del derecho de información de los concejales. Son muchas las Sentencias que se han ocupado de esta cuestión (SSTS de 27 de junio de 1988, 9 de mayo de 1998, 5 de noviembre de 1999, 11 de octubre de 2002, 19 de julio de 1989, 17 de noviembre de 2000, 5 de mayo de 1995, 21 de abril de 1997 o 14 de marzo de 2000 entre otras) pudiéndose deducir de las mismas una ya asentada doctrina jurisprudencial.

514

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

Puede convenirse en que los elementos fundamentales sobre los que se asienta dicha doctrina en relación al derecho a la información de los concejales, son los siguientes: 1.- El derecho de información es un elemento esencial en el ejercicio de la función representativa que asume el concejal. Consecuentemente dicho derecho de información es contenido sustancial del derecho fundamental de participación política artículo 23 CE y específicamente de su punto segundo en cuanto la norma constitucional perdería toda su eficacia si el ejercicio del cargo resultara mediatizado o impedido arbitrariamente a través de la denegación de la información necesaria. 2.- Es un derecho de configuración legal. El artículo 77 LBRL y los artículos 14,15 y 16 del Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales, sin olvidar los Reglamentos Orgánicos de cada Ayuntamiento, contienen el régimen jurídico del ejercicio de dicho derecho. 3.- De acuerdo con dicho régimen jurídico (y muy especialmente de los artículos 77.1 LBRL y 14.1del ROF) el derecho de información de los concejales aparece estrecha y directamente relacionado con “el desarrollo de su función”, y muy especialmente, en los términos del artículo 22.2 a) de la propia LBRL, con las funciones de “control y fiscalización de los órganos de gobierno”. Es dicha labor la que, “no solo ampara el derecho de información, sino que impone el deber de conocimiento de los datos que han de ser previos a la propuesta, discusión y decisión en la reunión del Pleno de la Corporación” (STS de 7 de diciembre de 1988), porque la “esencia de la petición de información está en el control natural de la acción de gobierno que deben realizar los concejales” (STS de 27 de junio de 1988). Por lo tanto, los antecedentes, datos e informes a los que tienen derecho a acceder son aquellos que contribuyan a un adecuado conocimiento en la gestión municipal de aquellos asuntos que, como concejales, forman parte de su función, mediante la fiscalización y control de la acción de gobierno y en la medida en que sólo a través del conocimiento de dichos antecedentes datos y documentos se pueda hacer efectiva la pretensión de fiscalización que les

515

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

corresponde, correspondiendo además “… a la Corporación probar que la finalidad perseguida por el concejal es otra distinta que la que vincula el derecho de información de los concejales a que su utilización tenga por finalidad el desarrollo de su función” (SSTS de 5 de diciembre de 1995, 28 de mayo de 1997 y 9 de mayo de 1998). Debe forzosamente en este punto citarse la Sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Canarias (Sala de las Palmas de Gran Canaria) de 24 de noviembre de 2003, porque además de fundamentar su fallo en razonamientos idénticos a los ya destacados, lo hace en un supuesto de hecho en el que la solicitud de información por parte de los concejales lo era respecto a “todos los expedientes de ayudas que la concejalía de Asuntos Sociales había concedido en el indicado mes de septiembre” 4.- El derecho de información de los concejales también está sometido a límites. Dichos límites se contienen también del régimen jurídico previsto en los artículos de la LBRL y ROF precedentemente citados. Así uno de dichos límites es, precisamente, el envés de lo dicho más arriba. Esto es, si el reconocimiento del derecho de información lo es para el ejercicio de las funciones propias de concejal, “no se trata de recabar información para difundirla, o por mera curiosidad, o para chismorrear, o para cualquier otro fin espurio.” (STSJ Gran Canaria de 24 de abril de 2003). De la misma manera, “el ejercicio de este derecho reconocido a los miembros de las Corporaciones Locales habrá de ser motivado, así como la resolución denegatoria del mismo” (STSJ Andalucía, Sala de Granada, de 30 de julio de 1988), debiendo consistir en este sentido en “…la referida a limitados y específicos asuntos municipales” (STS de 17 de noviembre de 2000) III Por su parte, en relación a los derechos fundamentales contemplados en los artículos 18.1 y 4 CE, (derecho a la intimidad y derecho a la protección de datos de carácter personal, respectivamente) sin necesidad de realizar un amplio recorrido por la doctrina constitucional recaída basta recordar, en relación al primero, que puede considerarse ya consolidada la que establece que

516

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

“El derecho a la intimidad personal, consagrado en el art. 18.1 CE, se configura como un derecho fundamental estrictamente vinculado a la propia personalidad y que deriva, sin ningún género de dudas, de la dignidad de la persona que el art. 10.1 CE reconoce e implica «la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana» (SSTC 170/1997, de 14 de octubre], F. 4; 231/1988, de 1 de diciembre , F. 3; 197/1991, de 17 de octubre , F. 3; 57/1994, de 28 de febrero , F. 5; 143/1994, de 9 de mayo , F. 6; 207/1996, de 16 de diciembre], F. 3; y 202/1999, de 8 de noviembre , F. 2, entre otras muchas). STC 156/1990, de 18 de octubre.” De la misma manera, respecto al apartado 4 de dicho precepto constitucional la STC 292/2000, de 30 de noviembre, establece expresamente que “El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin. … De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan

517

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo. Si importante es el recordatorio de la anterior jurisprudencia, también lo es a efecto del presente informe recordar los límites a los que, en ocasiones y con los requisitos establecidos, puedan quedar sujetos los derechos a los que venimos haciendo referencia. Así, no está de más recordar que la propia Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos prevé la posibilidad de limitaciones a dicho derecho, interesando en este momento la prevista en el artículo 13.1. de la misma, a cuyo tenor: “Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguarda de: … 6.- una función de control, de inspección o reglamentaria relacionada, aunque solo sea ocasionalmente con el ejercicio de la autoridad pública en los casos previstos en las letras c), d) y e).” Volviendo a la jurisprudencia del Tribunal Constitucional, también se ocupa ésta de la definición de dichos límites. Así, tiene éste reiteradamente establecido que “Igualmente es doctrina de este Tribunal que «el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho» (SSTC 57/1994, F. 6, y 143/1994, F. 6, por todas).” La propia STC 292/2000 antes citada, en el mismo sentido, establece que “el derecho a consentir la recogida y el tratamiento de los datos personales (artículo 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros,

518

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (artículo 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites”. IV Así definidos los contornos de ambos derechos fundamentales, y a la vista del artículo 11.2 a) de la LOPD, puede llegarse a la conclusión de que el artículo 77 LBRL constituye la norma legal que autoriza la cesión de datos a los concejales de los Ayuntamientos, sin que por lo tanto, con carácter general, dicha comunicación de datos sea contraria al derecho fundamental previsto en el artículo 18.4, respecto a aquellas personas titulares de los datos que serán objeto de cesión. Sin embargo, dado el tenor de la consulta (“quisiera conocer la opinión de la Agencia Vasca de Protección de Datos…”) e intentando dar respuesta al intento de interpretación superadora a la que se hacía referencia más arriba, la misma debe pasar por hacer posible el derecho de participación política de los concejales sin perjudicar, en lo esencial, el derecho igualmente fundamental de protección de los datos de carácter personal de los ciudadanos. Ello a nuestro juicio exige traer a primer plano el principio general de pertinencia de los datos en relación con las finalidades para los que van a ser, en el supuesto concreto, comunicados al o a los concejales solicitantes proclamado en el artículo 4, apartados 1 y 2, de la LOPD, a cuyo tenor: “1. Los datos de carácter personal sólo se podrán recoger para su tratamiento así como someterlos a dicho tratamiento cuando sean adecuados pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

519

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.” De acuerdo con dicho principio general inspirador de todo el régimen jurídico de protección de datos de carácter personal, y teniendo en cuenta que la recogida de los datos que ahora se solicitan tiene como finalidad, no solo la tramitación de los correspondientes procedimientos, sino también, permitir el control que de la actuación municipal en dichos expedientes se ha producido, su cumplimiento (y por lo tanto la adecuación de la comunicación a la normativa sobre protección de datos de carácter personal) exigirá que los datos que se comuniquen al o a los concejales solicitantes, sean los estrictamente adecuados, pertinentes y no excesivos para el cumplimiento de la finalidad para la que se produzca dicha comunicación, esto es, para el ejercicio de las funciones de control y fiscalización que dichos concejales tienen legalmente atribuidas. Esta es, por otra parte, la solución que cabe extraer de la jurisprudencia del Tribunal Supremo que se ha aproximado a esta cuestión. Así se recoge en la STS de 9 de febrero de 1998, a cuyo tenor: , pues, en el tema de fondo, ninguno de los intervinientes en el proceso pone en duda ni las facultades de decisión, control y fiscalización de las que participan los concejales en su calidad de miembros del Ayuntamiento ni el derecho que para el cumplimiento de estos cometidos les reconocen tanto el art. 77 de la Ley 7/1985, de Bases de Régimen Local, como el 14 del Reglamento de Organización y Funcionamiento , para obtener cuantos antecedentes, datos o informaciones obren en poder de los servicios de la Corporación y que resulten precisos para el desarrollo de su función, todo ello enmarcado en el art. 23.1 de la Constitución. Por eso la cuestión a resolver tiene su punto de gravedad en la razón dada por la Alcaldía en los escritos a los que se remite al denegar la petición que ha constituido el objeto de este recurso: la aplicación de los principios contenidos en la Ley 12/1989, de 9 mayo, de la Función Estadística Pública, entre los que se encuentra el del secreto estadístico recogido en los arts. 4.2 y 13 de dicho Cuerpo Legal, dirigido en este caso a preservar el derecho fundamental a la intimidad, por lo que se refiere a los datos personales recogidos en el Padrón.

520

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

Vemos, en definitiva, que la cuestión se centra en determinar los límites entre el derecho a participar en los asuntos públicos que para los concejales ampara el art. 23.1 de la Constitución y el derecho a la intimidad personal que a todos los ciudadanos otorga el art. 18.1 de la Constitución. La legislación de Régimen Local no nos da una respuesta específica sobre el tema, pues no lo es su declaración de que el Padrón sea un documento público, ya que de esta naturaleza no se sigue que el acceso al mismo sea indiferenciado y mucho menos a los antecedentes para su formación. Ante esta ausencia, vale que nos inspiremos en los criterios que sobre el particular se contienen en la invocada Ley de la Función Estadística Pública. Pues bien, aunque la misma parte del principio de garantizar el secreto estadístico, este secreto consiste en la prohibición de utilizar para finalidades distintas de las estadísticas los datos personales obtenidos directamente de los informantes por los servicios estadísticos (art. 14.3), estableciéndose que todo el personal estadístico tendrá obligación de preservar el secreto estadístico (art. 17) y ordenando el art. 4.4 que en virtud del principio de especialidad, es exigible a los servicios estadísticos que los datos recogidos para la elaboración de estadísticas se destinen a los fines que justificaron la obtención de los mismos. No siendo, desde luego, equiparable la noción de personal estadístico con la representación ciudadana que en el ámbito municipal asumen los concejales, lo cierto es que bien por vía de su aprobación o bien por la de fiscalización y control de los actos del Alcalde, los concejales están legitimados para participar en la elaboración del Padrón municipal y, sobre todo, para asegurarse de que la relación de los residentes y transeúntes en el término municipal que lo constituyen responde a la realidad, por lo que en este sentido responde claramente a su función representativa la petición de examen del Padrón y de sus antecedentes dirigida por los recurrentes al Alcalde, al ser su fin específico controlar aquella deseable adaptación a la realidad, lo que, por otra parte, no les exime de que cumplido el fin, queden obligados a sujetarse al deber de secreto respecto a aquellos datos personales que puedan atentar al derecho a la intimidad de los concernidos. (Los subrayados son nuestros) Aunque larga, la cita merece la pena porque contiene cuestiones similares

521

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

a las que se plantean en la consulta y utiliza para la resolución del conflicto entonces planteado elementos de decisión que ya han sido citados más arriba. Así, partiendo del reconocimiento de las “facultades de decisión, control y fiscalización” que corresponden a los concejales, “la determinación de los límites entre el derecho de participación política y el de intimidad” se realiza a partir de las “finalidades” para las cuales serán utilizados los datos, y todo ello, finalmente, lleva a estimar el recurso allí planteado y reconocer el derecho de los concejales recurrentes a obtener la información solicitada. Una adecuada valoración de cuales sean para el supuesto concreto los datos pertinentes permitiría, a juicio de esta Agencia, en gran medida acercarse a

un

punto

de

equilibrio

que

permitiera

a

los

concejales

desplegar

correctamente su derecho a la participación política respetando en lo esencial el derecho de las personas a la protección de sus datos de carácter personal. En este sentido, incluso, debiera valorarse la posibilidad de alcanzarse el mismo resultado por parte de los concejales, sin necesidad de identificar nominativamente a persona alguna, procediendo a lo que el artículo 11.6 de la LOPD denomina como “procedimiento de disociación”, esto es, tratando los datos personales de tal manera que permita la obtención de datos disociados, entendiendo por tales, aquellos que no permiten la identificación de un afectado o interesado. En cualquier caso, y como cláusula de cierre debe recordarse el deber de secreto al que quedan sometidos los concejales. V Debe igualmente advertirse que, por las especiales características de uno de los ámbitos materiales de actuación municipal sobre el cual ahora se solicitan datos (“percepciones sociales”) y sin conocer exactamente cual es, por una parte, la finalidad última del control que pretende ejercerse por el solicitante y, por otra, los datos que pretende (pues la consulta termina con la expresión “etc…”), no será extraño que dicha solicitud abarque la comunicación de datos de carácter personal “especialmente protegidos”, en los términos del artículo 7 de la LOPD. Esto es, datos relativos al origen racial, religión, salud e incluso vida

522

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

sexual. Sin ser este el momento de proceder a un detallado análisis de su régimen jurídico, sí es obligación de esta Agencia recordar, siquiera las especiales y reforzadas previsiones legales al que se someten los mismos en aspectos como el consentimiento, la comunicación, las medidas de seguridad, las necesidades de disociación etc… VI Cabe por último advertir que no corresponde a esta Agencia Vasca de Protección de Datos, sino al propio Ayuntamiento, realizar las correspondientes valoraciones respecto al menos: La necesidad de dicha información por los solicitantes para el correcto ejercicio de sus funciones. El cumplimiento por parte de la solicitud realizada de los requisitos exigidos por la normativa de régimen local. Su viabilidad desde un estricto punto de vista material o de gestión. La posibilidad de dar cumplimiento a dicha solicitud a través de otras vías. CONCLUSIONES 1.- La comunicación de datos de carácter personal a los concejales para el ejercicio de la función de fiscalización y control que estos tienen atribuida legalmente, encuentra cobertura en el artículo 11.2 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en relación con el artículo 77 de la Ley de Bases de Régimen Local. 2.- Deberán ser objeto de comunicación aquellos datos de carácter personal que resulten adecuados, pertinentes y no excesivos en relación con la concreta finalidad de fiscalización y control que los concejales tienen atribuida. 3.- La valoración de cuales resulten ser esos datos, así como el cumplimiento de los requisitos de la solicitud corresponde en exclusiva a los correspondientes órganos del Ayuntamiento.

523

INFORMES JURÍDICOS – VARIOS Agencia Vasca de Protección de Datos

4.- La comunicación de datos que, en su caso, se realice deberá encuadrarse dentro de los protocolos que en materia de seguridad tenga establecidos el propio Ayuntamiento (artículos 9 y 20 de la LOPD, en relación con el Real Decreto 994/1999, de 11 de junio por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. 5.- En cualquier caso, y en los términos contenidos en el cuerpo del presente dictamen, el cesionario o cesionarios de los datos de carácter personal que se comuniquen quedan sometidos al deber de secreto previsto en el artículo 10 de la LOPD.

524

B) PROCEDIMIENTOS SANCIONADORES ACCESO Y GESTIÓN DE DATOS PERSONALES DEL REGISTRO DE ENTRADA Y SALIDA DE AYUNTAMIENTO. ART. 9 LOPD................................................................................................... 526 AYUNTAMIENTO APORTA, SIN EL CONSENTIMIENTO DE LOS AFECTADOS, COPIA DE UNA SENTENCIA EN LA QUE INTERVENÍA EL AYUNTAMIENTO COMO ACUSACIÓN PARTICULAR. ART. 10 LOPD................................................................................................................................. 540 HALLAZGO DE EXPEDIENTES Y AGENDAS DE AYUNTAMIENTO ABANDONADOS EN LA VÍA PÚBLICA. ART. 10 LOPD............................................................................................................... 553 RECURSO DE INSCONSTITUCIONALIDAD RESPECTO DE LOS ARTS. 21.1 Y 24.1 Y .2 LOPD ......................................................................................................................................................... 569

525

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

ACCESO Y GESTIÓN DE DATOS PERSONALES DEL REGISTRO DE ENTRADA Y SALIDA DE AYUNTAMIENTO. ART. 9 LOPD Procedimiento Nº AAPP/00023/2007 RESOLUCIÓN: R/00873/2007 En el procedimiento de Declaración de Infracción de Administraciones Públicas AAPP/00023/2007, instruido por la Agencia Española de Protección de Datos al Ayuntamiento De Alicante, vista la denuncia presentada por D. Z.Z.Z. (Representante de D. X.X.X.), y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 27/11/2006, tuvo entrada en la Agencia Española de Protección de Datos un escrito de D. Z.Z.Z. en representación de D. X.X.X. (en lo sucesivo el denunciante), en el que denunciaba que el pasado 15/06/2006, en “... .A... .”, edición digital del diario Información, de Alicante, se publicaron datos personales del denunciante en un artículo con el titular “Decreto. Y. ordena cerrar el aparcamiento de (... ..)”, que informaba que la “Cargo 1” del Ayuntamiento de Alicante había firmado un decreto que denegaba la licencia que el denunciante había solicitado en 1996. Con fecha 27/10/2006, el Ayuntamiento de Alicante hizo publico el cierre del aparcamiento del denunciante, y, el mismo día, en la edición en papel del Diario Información, se incluyeron los datos personales del denunciante en una noticia que informaba sobre el cierre del aparcamiento para el que se había solicitado la licencia, con el titular “La Policía vigilará el desalojo del aparcamiento precintado”. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, durante las cuales se tuvo conocimiento de los siguientes extremos: 1. La Gerencia Municipal de Urbanismo del Ayuntamiento de Alicante ha comunicado que la información que fue publicada “proviene del extracto de las hojas del Registro de Salida de documentos de esta Gerencia, el cual tiene un acceso restringido, ya que sólo se envía a los Grupos Políticos Municipales,

526

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

“Cargo 1”, Gerente de Urbanismo, “Cargo 2” del Ayuntamiento y Oficina de Información Urbanística para uso exclusivo interno”. La distribución de las Hojas de Registro de Entrada y Salida de Documentos obedece a una práctica de carácter interno para facilitar el seguimiento de los distintos asuntos que tienen entrada en el Ayuntamiento, a sus máximos responsables, tanto de la Corporación como de la propia Gerencia. Igualmente manifiesta que, en este caso, no existe constancia alguna de que la información aparecida haya salido ni del Gerente ni de la “Cargo 1”. 2. El “Cargo 3” del Diario Información ha comunicado que el origen de los datos personales del Sr. X.X.X. publicados en dicho diario, “...el origen de la información a que se refiere el mismo, tal y como se cita en la propia noticia, es el decreto firmado por la “Cargo 1” de Urbanismo del Excelentísimo Ayuntamiento de Alicante”. SEGUNDO: Con fecha 29/05/2007, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de las Administraciones Públicas al Ayuntamiento de Alicante, por la presunta infracción de los artículos 9 y 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificadas como grave y leve, en los artículos 44.3.h) y 44.2.e) de dicha norma, respectivamente. TERCERO: El acuerdo de inicio fue notificado al Ayuntamiento de Alicante con fecha 06/06/2007. CUARTO: Transcurrido el plazo concedido para formular alegaciones al acuerdo de inicio sin que el Ayuntamiento de Alicante las haya realizado, el citado acuerdo se considera propuesta de resolución, a tenor de lo previsto en el artículo 13.2 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora, aprobado por el Real Decreto 1398/1993, de 4 de agosto. QUINTO: Con fecha 19/10/2007 se ha recibido un escrito de la Gerencia de Municipal

de

Urbanismo

del

Ayuntamiento

de

Alicante,

reiterando

las

manifestaciones efectuadas en sus escritos de 28/02/2007 y 21/03/2007, en el sentido de que la información aparecida en el Diario Información proviene del

527

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

extracto de las hojas del registro de salida de documentos de la Gerencia, que tiene una difusión restringida, ya que únicamente se envía a los Grupos Políticos Municipales, “Cargo 1”, Gerente de Urbanismo, “Cargo 2” del Ayuntamiento y Oficina de Información Urbanística, para exclusivo uso interno, desconociéndose la forma en que dicha información pudo llegar al periódico. Por otra parte, la información aparecida en el periódico no procede de ningún expediente sancionador ni disciplinarios, sino de la resolución de un expediente de licencia de apertura. Asimismo señala que el registro de la Gerencia no se encuentra entre aquellos a los que no puede ejercerse el derecho de acceso por parte de los ciudadanos, de acuerdo con lo dispuesto en el artículo 37.5 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, habiendo cumplido lo dispuesto en el artículo 38 de la misma ley, que regula los registros de los órganos administrativos. HECHOS PROBADOS PRIMERO: Con fecha 15/06/2006, en “…A….”, edición digital del diario Información de Alicante, se publicaron datos personales del denunciante en un artículo con el titular “Decreto. Y. ordena cerrar el aparcamiento de (.....)”, y con el texto siguiente: “La “Cargo 1”, Y., ha firmado un decreto en el que deniega la licencia de apertura que solicitó en 1996 X.X.X. para abrir un aparcamiento en la carretera de (…..) al (….)y ordena la suspensión de esta actividad”. “La responsable de Urbanismo, ha remitido con fecha de 7 de junio el decreto en el que rechaza unas alegaciones que presentó en marzo pasado Peter X.X.X. contra una anterior denegación del permiso y le ordena suspender el funcionamiento de su actividad de forma inmediata. El plazo para desalojar los vehículos es de un mes”. (folios 4 y 5). SEGUNDO: El Ayuntamiento de Alicante ha informado, con fecha 28/02/2007, que “dicha información proviene del extracto de las hojas del Registro de Salida de documentos de esta Gerencia (de Urbanismo), el cual tienen un acceso restringido ya que sólo se envía a los Grupos Políticos Municipales, “Cargo 1”, Gerente de Urbanismo, “Cargo 2” del Ayuntamiento y Oficina de Información Urbanística para exclusivo uso interno” (folio 23).

528

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

SEGUNDO: El Ayuntamiento de Alicante es responsable de los siguientes ficheros: - Nombre y descripción del fichero, “Urbanismo”, Fichero en el que se registran todos los expedientes de carácter urbanísticos. Código #######1. - Nombre y descripción del fichero, “Registro”, Fichero en el que se almacenan los registros oficiales de entrada y salida de documentos del Ayuntamiento y sus administrados. Código #######2 (folios 44-53). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Se imputa, en primer lugar, al Ayuntamiento de Alicante un infracción del artículo 9 de la LOPD, que dispone: “1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.”

529

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

El artículo 9 de la LOPD establece el principio de “seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros. Para poder delimitar cuáles sean los accesos que la Ley pretende evitar exigiendo las pertinentes medidas de seguridad es preciso acudir a las definiciones de “fichero” y “tratamiento” contenidas en la LOPD. En lo que respecta a los ficheros el artículo 3.a) los define como “todo conjunto organizado de datos de carácter personal” con independencia de la modalidad de acceso al mismo. Por su parte la letra c) del mismo artículo permite considerar tratamiento de datos cualquier operación o procedimiento técnico que permita, en lo que se refiere al objeto del presente expediente, la “comunicación” o “consulta” de los datos personales tanto si las operaciones o procedimientos de acceso a los datos son automatizados como si no lo son. Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “...que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Sintetizando las previsiones legales puede afirmarse que: a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso -la comunicación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD. b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca están, también, sujetos a la LOPD. c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se remite a normas reglamentarias, que eviten accesos no autorizados.

530

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave. La Audiencia Nacional en Sentencia de 23/03/2006 ha declarado que el artículo 9 de la LOPD “impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros (...) la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas”. (el subrayado es de la Agencia Española de Protección de Datos). El Ayuntamiento de Alicante está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que figuran en sus ficheros, en este caso en el extracto de las hojas del registro de salida de documentos de la Gerencia de Urbanismo, documento extraído del citado fichero. Tales medidas no fueron adoptadas totalmente en el presente caso, incurriendo con ello en la infracción tipificada en el artículo 9 de la LOPD. III El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.” Dado que ha existido una vulneración del principio de seguridad recogido

531

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

en el artículo 9 de la LOPD, se considera que el Ayuntamiento de Alicante ha incurrido en la infracción grave descrita. IV Asimismo, el presente procedimiento tiene por objeto determinar las responsabilidades que se derivan de la revelación de los datos del denunciante a terceros. El artículo 10 de la LOPD dispone lo siguiente: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo” (el subrayado es de la Agencia Española de Protección de Datos). El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su sentencia n. 361, de 19 de julio de 2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”. En este sentido, la Sentencia de la Audiencia Nacional, de fecha 14/09/2001, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo, lo siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas , en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en

532

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida”. En el caso que nos ocupa, se ha constatado que en la edición digital de un periódico de Alicante se publicó una información que incluía los datos personales (nombre y apellido) del denunciante, y que provenía, como ha reconocido el propio Ayuntamiento de Alicante, del extracto de las hojas del Registro de salida de documentos de la Gerencia de Urbanismo, incurriendo dicho Ayuntamiento en una vulneración al deber de secreto. En este caso, ha quedado acreditado que el Ayuntamiento de Alicante es responsable de la infracción del deber de secreto que regula el artículo 10 de la LOPD. V La LOPD califica como infracción leve, grave o muy grave la infracción del artículo 10 de la citada norma, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros. El incumplimiento del deber de guardar secreto establecido en el citado artículo 10 de la LOPD constituye, por regla general, una infracción leve tipificada en el artículo 44.2.e) como: “Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave”. Tal incumplimiento sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros

533

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”. En el presente caso, ha de considerarse que, de los datos revelados del denunciante (nombre y apellidos), no se puede hacer una evaluación de la personalidad del mismo, ni concurren los requisitos para su calificación como infracción grave, por lo que ha de calificarse la infracción del artículo 10 por parte del Ayuntamiento del Alicante como falta leve. VI El Ayuntamiento de Alicante ha manifestado que ha actuado de forma diligente, de acuerdo con lo previsto en los artículos 37, sin que sea de aplicación las excepciones del apartado 5, y 38.3 de la LRJPAC, que disponen lo siguiente: “Artículo 37. Derecho de acceso a Archivos y Registros. 1. Los ciudadanos tienen derecho a acceder a los registros y a los documentos que, formando parte de un expediente, obren en los archivos administrativos, cualquiera que sea la forma de expresión, gráfica, sonora o en imagen o el tipo de soporte material en que figuren, siempre que tales expedientes correspondan a procedimientos terminados en la fecha de la solicitud. 2. El acceso a los documentos que contengan datos referentes a la intimidad de las personas estará reservado a éstas, que, en el supuesto de observar que tales datos figuran incompletos o inexactos, podrán exigir que sean rectificados o completados, salvo que figuren en expedientes caducados por el transcurso del tiempo, conforme a los plazos máximos que determinen los diferentes procedimientos, de los que no pueda derivarse efecto sustantivo alguno. 3. El acceso a los documentos de carácter nominativo que sin incluir otros datos pertenecientes a la intimidad de las personas figuren en los procedimientos de aplicación del derecho, salvo los de carácter sancionador o disciplinario, y que, en consideración a su contenido, puedan hacerse valer para el ejercicio de los derechos de los ciudadanos, podrá ser ejercido, además de por sus titulares, por terceros que acrediten un interés legítimo y directo.

534

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

4. El ejercicio de los derechos que establecen los apartados anteriores podrá ser denegado cuando prevalezcan razones de interés público, por intereses de terceros más dignos de protección o cuando así lo disponga una Ley, debiendo, en estos casos, el órgano competente dictar resolución motivada. 5. El derecho de acceso no podrá ser ejercido respecto a los siguientes expedientes: a) Los que contengan información sobre las actuaciones del Gobierno del Estado o de las Comunidades Autónomas, en el ejercicio de sus competencias constitucionales no sujetas a Derecho Administrativo. b) Los que contengan información sobre la Defensa Nacional o la Seguridad del Estado. c) Los tramitados para la investigación de los delitos cuando pudiera ponerse en peligro la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando. d) Los relativos a las materias protegidas por el secreto comercial o industrial. e) Los relativos a actuaciones administrativas derivadas de la política monetaria. 6. Se regirán por sus disposiciones específicas: a) El acceso a los archivos sometidos a la normativa sobre materias clasificadas. b) El acceso a documentos y expedientes que contengan datos sanitarios personales de los pacientes. c) Los archivos regulados por la legislación del régimen electoral. d) Los archivos que sirvan a fines exclusivamente estadísticos dentro del ámbito de la función estadística pública.

535

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

e) El Registro Civil y el Registro Central de Penados y Rebeldes y los registros de carácter público cuyo uso esté regulado por una Ley. f) El acceso a los documentos obrantes en los archivos de las Administraciones Públicas por parte de las personas que ostenten la condición de Diputado de las Cortes Generales, Senador, miembro de una Asamblea legislativa de Comunidad Autónoma o de una Corporación Local. g) La consulta de fondos documentales existentes en los Archivos Históricos. 7. El derecho de acceso será ejercido por los particulares de forma que no se vea afectada la eficacia del funcionamiento de los servicios públicos debiéndose, a tal fin, formular petición individualizada de los documentos que se desee consultar, sin que quepa, salvo para su consideración con carácter potestativo, formular solicitud genérica sobre una materia o conjunto de materias. No obstante, cuando los solicitantes sean investigadores que acrediten un interés histórico, científico o cultural relevante, se podrá autorizar el acceso directo de aquéllos a la consulta de los expedientes, siempre que quede garantizada debidamente la intimidad de las personas. (…)” Artículo 38. Registros. “1. Los órganos administrativos llevarán un registro general en el que se hará el correspondiente asiento de todo escrito o comunicación que sea presentado o que se reciba en cualquier unidad administrativa propia. También se anotarán en el mismo, la salida de los escritos y comunicaciones oficiales dirigidas a otros órganos o particulares. (…) 3.

Los

registros generales,

así

Administraciones Públicas establezcan

como todos los

registros

para la recepción de

que escritos

las y

comunicaciones de los particulares o de órganos administrativos, deberán instalarse en soporte informático. (…)” El Ayuntamiento no ha acreditado que se hubiera realizado el acceso al expediente correspondiente a la tramitación de la licencia de apertura solicitada por el denunciante, de acuerdo con el artículo 37, por lo que no procede estimar esta alegación.

536

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

VII El hecho constatado de la difusión de datos personales fuera del ámbito de Ayuntamiento de Alicante establece la base de facto para fundamentar la imputación de las infracciones de los artículos 9 y 10 de la LOPD. No obstante, nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia que la comisión de una implica, necesariamente, la comisión de la otra. Esto es, si un documento interno que contiene información sobre datos personales sale del ámbito de la entidad

responsable

de

su

confidencialidad,

se

está

produciendo

un

incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto. Por lo tanto, aplicando el artículo 4.4 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el, procede subsumir ambas infracciones en una. Dado que, en este caso, se considera que la infracción originaria es la relativa a la vulneración de las medidas de seguridad que, además, coincide con la de mayor gravedad, procede imputar únicamente la infracción del artículo 9 de la LOPD. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE ALICANTE ha infringido lo dispuesto en el artículo 9 de la LOPD, lo que supone una infracción tipificada como grave en el artículo 44.3.h) de la citada Ley Orgánica. SEGUNDO: REQUERIR al AYUNTAMIENTO DE ALICANTE, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 9 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE ALICANTE, Plaza

537

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

del Ayuntamiento 1, 03002 Alicante, y a D. Z.Z.Z. (representante de D. X.X.X.), (c/...) CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

538

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

Madrid, 26 de noviembre de 2007

EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

539

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

AYUNTAMIENTO APORTA, SIN EL CONSENTIMIENTO DE LOS AFECTADOS, COPIA DE UNA SENTENCIA EN LA QUE INTERVENÍA EL AYUNTAMIENTO COMO ACUSACIÓN PARTICULAR. ART. 10 LOPD Procedimiento Nº AP/00015/2008 RESOLUCIÓN: R/00967/2008 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00015/2008, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE MOJÁCAR, vista la denuncia presentada por DON X.X.X. y DOÑA Y.Y.Y., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 23 de agosto de 2006, tuvo entrada en esta Agencia escrito de Don X.X.X. y de Doña Y.Y.Y. (en lo sucesivo los denunciantes), en el que denuncian al Ayuntamiento de Mojácar por haber aportado, en una demanda interpuesta por Don V.V.V. y Don Z.Z.Z., con fecha 12 de mayo de 2006, en el Juzgado de Primera Instancia e Instrucción número 0A de ... ., copia de, sin el una sentencia anterior consentimiento de los denunciantes. Según manifestaron los denunciantes, con motivo de una demanda interpuesta por los particulares Don V.V.V. y Don Z.Z.Z. contra Don X.X.X. y Doña Y.Y.Y., “Actos de Juicio Ordinario número ***/***” seguidos en el Juzgado de Primera Instancia e Instrucción número 0A de ., el Ayuntamiento de Mojácar aportó, sin el consentimiento de los afectados, copia de una sentencia anterior en la que intervenía el Ayuntamiento como acusación particular. Adjunto a su denuncia aportaron copia de la demanda referida, en la que se indica que en los Juzgados de Vera se han tramitado diversos Juicios de Faltas y que, a efectos meramente indicativos, se adjunta como documento número 3, copias de algunos de ellos. Entre los documentos que acompañan a la demanda consta una copia de la “Cédula de notificación de la providencia (sentencia Nº +*+/++)” dirigida al Ayuntamiento de Mojácar, con sello de registro de entrada, a la que se acompaña copia de la sentencia mencionada.

540

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. Solicitada información al Ayuntamiento de Mojácar por parte de la Agencia Española de Protección de Datos, éste manifestó lo siguiente: - Que no tiene constancia de que se le haya requerido, por parte del Ayuntamiento de Vera, la aportación de la sentencia mencionada por los denunciantes, origen de su denuncia, en el Juicio Ordinario ***/***. - Que no hay constancia de que el Ayuntamiento haya cursado comunicación alguna de la sentencia a terceros, por lo que desconoce cómo ha podido llegar a un tercero dicha información. . Tal y como consta en la documentación remitida por Don A.A.A., letrado de Don V.V.V. y Don Z.Z.Z. en los Autos del Juicio Ordinario ***/*** del Juzgado de Primera Instancia e Instrucción número 0A de ... .: - Don A.A.A. manifestó que la sentencia fue aportada al Juzgado de ... .. y fue facilitada por un familiar de su cliente, sin más especificación. No obstante, manifestó que “las sentencias son documentos públicos, respecto a los cuales cualquiera puede tener acceso, de conformidad con lo dispuesto en el articulo 140 y siguientes de la Ley de Enjuiciamiento Civil y 234 y siguientes de la Ley Orgánica del Poder Judicial”. - Asimismo, manifestó que el motivo de aportar dicha resolución al Juzgado de .. se debe a que está íntimamente ligada con los hechos de ese procedimiento. TERCERO: Con fecha 24 de marzo de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al AYUNTAMIENTO DE MOJÁCAR por la presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.g) de dicha norma.

541

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

CUARTO: Con fecha 28 de mayo de 2008, se remitió al Negociado de Edictos y Anuncios del Ayuntamiento de Mojácar, información sobre el expediente AP/00015/2008, toda vez que no fue posible efectuar la notificación del acuerdo de inicio del procedimiento a Don X.X.X. y de Doña Y.Y.Y., en el último domicilio conocido en ese Ayuntamiento, al objeto de que se procediera a su práctica por medio de anuncio en el tablón de edictos del Ayuntamiento. QUINTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas, en fecha 9 de abril de 2007, el Ayuntamiento de Mojácar presentó escrito de alegaciones en el que, en síntesis, manifestaba que la propia Ley Orgánica exceptúa del consentimiento exigido en el artículo 11.1, cuando tenga lugar alguna de las circunstancias previstas en el artículo 11.2 d) al establecer que “cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o tribunales o el tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas”“ Por tanto, “…la aportación por parte del Ayuntamiento de Mojácar en el Juzgado de Primera Instancia e Instrucción número 0A de ... ., de la copia de sentencia en la que aparecen los denunciantes, no infringe el deber de secreto previsto en el artículo 10 de la LOPD, ya que el destinatario de la misma no ha sido otro que el Juzgado de Primera Instancia o Instrucción de ... . nº0A1”. SEXTO: Con fecha 24 de abril de 2008, se acordó por la Instructora del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/00915/2006, así como la documental aportada por el Ayuntamiento de Mojácar. Asimismo, se solicitó como práctica de prueba al Ayuntamiento de Mojácar requiriéndole

para

que

remitiera

a

esta

Agencia

especificación

y

documentación acreditativa de las personas y/o Organismos a los que hizo entrega de la citada sentencia. El Ayuntamiento no respondió a la prueba practicada. Por otra parte, se solicitó como práctica de prueba al letrado Don A.A.A. que remitiera a esta Agencia identificación de la persona que aportó, al Juzgado de

542

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

Primera Instancia e Instrucción número 0A de ... ., la sentencia +*+/++, así como declaración de dicha persona del modo en que obtuvo copia de dicha sentencia, incluida la “Cédula de notificación de la providencia (sentencia +*+/++)” dirigida al Ayuntamiento de Mojácar. Con fecha 30 de mayo de 2008, Don A.A.A. respondió a la prueba practicada manifestando que la sentencia “fue facilitada por personal del Excmo. Ayuntamiento de Mojácar a todas las personas implicadas como denunciantes o testigos de los hechos por los cuales fue condenado quien ahora se muestra tan escrupuloso con su honor. Debemos recordar que la sentencia fue condenatoria por agredir a agentes de la autoridad del citado Ayuntamiento”. SÉPTIMO: Transcurrido el período de práctica de pruebas, con fecha 9 de junio de 2008, se inició el trámite de audiencia, poniendo de manifiesto el expediente y otorgando quince días para realizar alegaciones. OCTAVO: Con fecha 1 de julio de 2008, se envió propuesta de Resolución, en el sentido de que por el Director de la Agencia Española de Protección de Datos se declarase que el Ayuntamiento de Mojácar ha incumplido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como grave en el artículo 44.3.g) de la citada Ley Orgánica. HECHOS PROBADOS PRIMERO: Con fecha 12 de mayo de 2006, Don V.V.V. y Don Z.Z.Z., presentaron una demanda en el Juzgado de Primera Instancia e Instrucción número 0A de ... ., contra Doña Y.Y.Y. y Don X.X.X. “Actos de Juicio Ordinario número ***/***” (folios 4-166) SEGUNDO: Entre los documentos que acompañan a la demanda consta una copia de la “Cédula de notificación de la providencia (sentencia Nº +*+/++)” dirigida al Ayuntamiento de Mojácar, con sello de registro de entrada, a la que se acompaña copia de la sentencia citada, relativa a un “Juicio de faltas” contra Doña Y.Y.Y. y Don X.X.X., por la que éste último fue condenado como autor de un delito de atentado (folios 79-84). TERCERO: Don A.A.A., letrado de Don V.V.V. y Don Z.Z.Z. en los Autos del Juicio

543

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

Ordinario ***/*** del Juzgado de Primera Instancia e Instrucción número 0A de ... ., ha reconocido haber aportado dicha sentencia al Juzgado de ... .., manifestando que le fue facilitada por un familiar de su cliente y que la aportó por estar íntimamente ligada con los hechos de ese procedimiento (folios 174 y 213). CUARTO: El Ayuntamiento de Mojácar reconoció no tener constancia de que el Juzgado de Primera Instancia e Instrucción número 0A de ... . le hubiera requerido la aportación de la citada sentencia (folios 180-181). QUINTO: El Ayuntamiento de Mojácar no ha podido acreditar el envío al Juzgado de Primera Instancia e Instrucción número 0A de ... . de la citada sentencia. SEXTO: El Ayuntamiento de Mojácar no ha podido acreditar a qué personas u Organismos hizo entrega de la citada sentencia. SÉPTIMO: Los nombre de Don V.V.V. y Don Z.Z.Z., no constan en la sentencia +*+/++, por lo que el Ayuntamiento de Mojácar no pudo entregarles dicha sentencia, al no ser parte interesada en el proceso (folios 79-84) FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Los artículos 1 y 2 de la LOPD, establecen como Objeto y Ámbito de la misma: “1. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.”

544

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

“2. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.” III El artículo 3 de la LOPD, define como: “a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que

resulten

de

comunicaciones,

consultas,

interconexiones

y

transferencias. d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. e) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo. f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. h) Consentimiento del interesado: Toda manifestación de voluntad, libre,

545

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.” IV El artículo 11 de la LOPD, prevé la comunicación de datos de carácter personal a terceros exigiendo en sus apartados 1 y 2 lo siguiente: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de la funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o

546

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.” (el subrayado es de la Agencia Española de Protección de Datos). V No puede ser tenida en cuenta la alegación del Ayuntamiento de Mojácar en el sentido de que la propia Ley Orgánica exceptúa del consentimiento exigido en el artículo 11 cuando la comunicación que deba efectuarse tenga por destinatario a los Jueces o tribunales, en el ejercicio de las funciones que tiene atribuidas y que, por lo tanto, no se produjo infracción dado que la aportación por parte del Ayuntamiento de Mojácar en el Juzgado de Primera Instancia e Instrucción número 0A de ... ., de la copia de sentencia en la que aparecen los denunciantes, ya que el destinatario de la misma no ha sido otro que el Juzgado de Primera Instancia o Instrucción de Vera nº 1. Al respecto, conviene señalar que el Ayuntamiento de Mojácar hubiera estado habilitado para ceder los datos de los denunciantes al Juzgado de Primera Instancia e Instrucción número 0A de ... ., en el supuesto de que dicho Juzgado así se lo hubiera requerido. Sin embargo, en el supuesto que nos ocupa, el Ayuntamiento de Mojácar no ha podido acreditar ni dicho requerimiento ni el envío de la citada sentencia al Juzgado. Por lo tanto, dicha alegación debe ser desestimada. VI El artículo 10 de la LOPD, establece: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su

547

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

caso, con el responsable del mismo.” Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su sentencia n. 361, de 19/07/01: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”. En este sentido, la sentencia de la Audiencia Nacional de fecha 18/01/02, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo: “El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable en este caso, la entidad bancaria recurrente- de los datos almacenados -en este caso, los asociados a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo” (artículo 10 citado). Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto.” “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la

548

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida” El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. El deber de secreto profesional que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia

elemental

y

anterior

al

propio

reconocimiento

del

derecho

fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riego para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida.

549

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

En el presente caso, ha quedado acreditado el traslado por parte del Ayuntamiento de Mojácar a terceros, en concreto a la parte denunciante de los “Actos de Juicio Ordinario número ***/***” seguidos en el Juzgado de Primera Instancia e Instrucción número 0A de ... ., de la sentencia número +*+/++, ya que dicha sentencia va acompañada de una copia de la “Cédula de notificación de la providencia (sentencia Nº +*+/++)” dirigida al Ayuntamiento de Mojácar y con sello de registro de entrada. Dicha sentencia contiene información relativa a un “Juicio de Faltas” anterior por el que fueron condenados Don X.X.X. y de Doña Y.Y.Y. y fue aportada por el abogado de la parte denunciante en el Juzgado de ... .., sin el consentimiento de éstos. VII El artículo 44.3.g) de la LOPD, considera infracción grave: “La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.” VIII En conclusión, en el presente caso los datos personales de los denunciantes contenidos en la sentencia Nº +*+/++ fueron traslados a terceros que los aportaron en otra demanda que se seguía en el Juzgado de Primera Instancia e Instrucción número 0A de ... ., sin ningún tipo de restricción y sin que el Ayuntamiento de Mojácar haya podido determinar a qué personas u organismos reveló el contenido de dicha sentencia que salió sin lugar a dudas del citado Ayuntamiento, toda vez que iba acompañada de “Cédula de notificación de la providencia (sentencia Nº +*+/++)” dirigida al Ayuntamiento de Mojácar y con sello de registro de entrada. Dicha sentencia contenía información relativa a la comisión de infracciones

550

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

administrativas o penales. Es por ello que la infracción cometida por el Ayuntamiento de Mojácar debe considerarse como grave. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el AYUNTAMIENTO DE MOJÁCAR ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.g) de de la citada Ley Orgánica. SEGUNDO: REQUERIR al AYUNTAMIENTO DE MOJÁCAR, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. TERCERO: NOTIFICAR

la

presente

resolución

al

AYUNTAMIENTO

DE

MOJÁCAR , Pza del Ayuntamiento, 04638 Mojácar, Almería, y a DON X.X.X. y a DOÑA Y.Y.Y., con domicilio en (C/......) CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del

551

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 1 de septiembre de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

552

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

HALLAZGO DE EXPEDIENTES Y AGENDAS ABANDONADOS EN LA VÍA PÚBLICA. ART. 10 LOPD

DE

AYUNTAMIENTO

Procedimiento Nº AP/00039/2008 RESOLUCIÓN: R/01786/2008 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00039/2008, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE GONDOMAR, vista la denuncia presentada por Dª. D.D.D., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 16/3/2007 tuvo entrada en esta Agencia un escrito de D.ª. D.D.D. ( en lo sucesivo la denunciante) en el que declara haber encontrado una serie de expedientes y agendas en una calle del Ayuntamiento de Gondomar. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de actuaciones de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos A) Durante la inspección realizada en el Ayuntamiento de Gondomar, el 21/11/2007, los representantes del mismo realizaron las siguientes manifestaciones: a) El Ayuntamiento dispone de un “Archivo General” en el que se deposita toda la documentación, una vez han transcurrido los plazos legales de recursos administrativos o judiciales y los distintos departamentos disponen de sus propios archivos. b) El Ayuntamiento no dispone de documento alguno que protocolice el ciclo de la documentación desde su entrada, hasta su expurgo y destrucción. En el último año

no

se

ha

realizado

ningún

tipo

de

expurgo

ni

destrucción

de

documentación. c) El Ayuntamiento no tiene registrados sus archivos en papel ante la Agencia 553

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

Española de Protección de Datos ni documento de seguridad de dichos archivos. d) Los inspectores de la Agencia presentan al representante del Ayuntamiento de Gondomar la documentación relativa a expedientes instruidos a nombre de las siguientes personas: - D. E.E.E.. - D. F.F.F. y familia. - D.ª G.G.G.. - D.ª H.H.H.. - D. I.I.I.. Todos ellos son reconocidos por el representante del Ayuntamiento como tramitados en él, sin embargo desconocen el motivo por el cual estos expedientes hayan podido aparecer en la vía pública, dado que estaba ubicada en un archivo compartido por los departamentos de Servicios Sociales, Juventud y Mujer en un edificio de servicios múltiples, propiedad del Ayuntamiento y distinto de la Casa do Concello, bajo llave, si bien no pueden precisar las personas que disponen de copia de dicha llave. B) La documentación aportada por la denunciante consiste en expedientes de los Servicios Sociales del Ayuntamiento de Gondomar, extrayéndose de ellos una muestra consistente en los documentos siguientes : a) de D. E.E.E.: - Informe de una trabajadora social del Ayuntamiento de Gondomar acerca del afectado, informando, entre otros datos, ser paralítico cerebral con una minusvalía del 98%. - Fotocopia del DNI de Dª J.J.J., madre del afectado, así como fotocopia del libro de familia. - Informe Social, emitido por el Asistente Social de Atención Primaria del Ayuntamiento de Gondomar y dirigido a la Fundación O.N.C.E., recogiendo la composición familiar, situación económica, vivienda, y problemática del afectado.

554

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

- Fotocopia de la primera página de una libreta de ahorros, en la que constan todos los dígitos de la cuenta. - Fotocopia de una nómina de D. K.K.K., padre del afectado. b) de D. F.F.F. y familia, conteniendo información personal entre la que destaca: - Copia de atestado instruido por lesiones por agresión a la madre por parte del padre, que se encontraba bebido. - Informe social en el que se recoge la composición familiar, se relata la situación económico-laboral, el alcoholismo de los padres, desorganización familiar, vivienda carente de condiciones de habitabilidad, sin agua, luz ni cuarto de baño. La informante recomienda la acogida de los hijos del matrimonio en un centro de Protección de Menores. - Informe psicopedagógico de D. L.L.L.. c) de Dª. G.G.G., conteniendo información personal entre la que destaca: Solicitud de pensión de invalidez no contributiva a favor de la afectada, con motivo de una minusvalía psíquica. Fotocopias del DNI y de la habitualmente denominada “cartilla de la Seguridad Social” (modelo P1 del Instituto Nacional de la Seguridad Social) de D. M.M.M., en la que figuran los miembros de la familia, entre ellos la afectada. - Informe Social emitido por la Asistente Social del Equipo de Reinserción Familiar, referido a D. M.M.M., esposo de la afectada. Recoge el informe los antecedentes familiares, referidos a los tres hijos habidos de la pareja y dados posteriormente en adopción, debido a que ambos miembros de la pareja están incapacitados para cuidar de los menores. Se indica en el informa que la afectada se encuentra incapacitada judicialmente. - Aparecen dos informes sociales más. d) de Dª. N.N.N., conteniendo información personal entre la que destaca: Solicitud de domiciliación bancaria de la afectada, en la que se incluye copia de la primera página de una libreta de ahorro, en la que aparecen el número de cuenta completo.

555

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

- Escrito del Ayuntamiento de Madrid dirigido al Ayuntamiento de Gondomar, en que se remite un informe relativo a la afectada respecto a información padronal. - Certificado de inscripción padronal emitido por el Ayuntamiento de Madrid respecto de la afectada. - Escrito remitido por el Ayuntamiento de Madrid a la afectada, por el que se le comunica su incorporación al Ingreso Madrileño de Integración. - Escrito remitido a la afectada por la Conselleria de Sanidade e Servicios Sociais de la Xunta de Galicia, por el que se le comunica la modificación de la cuantía de una pensión de invalidez no contributiva. e) de D. I.I.I., conteniendo información personal entre la que destaca: -Fotocopias del DNI del afectado y de D.ª O.O.O., así como del libro de familia de ambos. - Expediente de emergencia social de D. P.P.P.. - Informe emitido por el Departamento de Servicios Sociales del Ayuntamiento de Gondomar, en el que se especifica que la pareja es de raza gitana. - Diversos certificados de inscripción en el Registro Civil. - Fotocopia de la primera página de una libreta de ahorro, en la que aparece el número de cuenta completo. TERCERO: A la vista del resultado de las actuaciones previas de investigación, con fecha 22/07/2008, con arreglo a lo dispuesto en el artículo 46 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal LOPD- , el Director de la Agencia Española de Protección de Datos acordó iniciar un Procedimiento de Declaración de Infracción de las Administraciones Públicas al Ayuntamiento de Gondomar, por la presunta infracción de los artículos 9 y 10 de dicha norma, tipificadas como grave y muy graves en el artículo 44.3.h) .d) y 44.4.g) ) respectivamente, de la citada Ley Orgánica. Dicho Acuerdo de Inicio de Declaración de Infracción de las Administraciones Públicas fue notificado al Ayuntamiento de Albacete, el 28/07/2008.

556

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

CUARTO: El Ayuntamiento de Gondomar, no obstante haberle sido notificado en tiempo y forma el Acuerdo de Inicio de Declaración de Infracción de las Administraciones Publicas, no ha efectuado alegaciones. HECHOS PROBADOS PRIMERO: Con fecha de 16/3/2007 tuvo entrada en esta Agencia un escrito de Dª. D.D.D. en el que declara haber encontrado una serie de expedientes y agendas en una calle del Ayuntamiento de Gondomar ( folios 1 y 2). SEGUNDO: El Ayuntamiento dispone de un “Archivo General” en el que se deposita toda la documentación y los distintos departamentos disponen de sus propios archivos sin que dispongan de documento alguno que protocolice el ciclo de la documentación desde su entrada, hasta su expurgo y destrucción ni tiene registrados sus archivos en “papel” ante la Agencia Española de Protección de Datos- AEPD-, ni de documento de seguridad de dichos archivos ( folio 5 ) . TERCERO: Los a expedientes instruidos a nombre de: D. E.E.E.; D. F.F.F. y familia; D.ª G.G.G.; D.ª H.H.H.; D. I.I.I.; son reconocidos por el Ayuntamiento como tramitados en él, sin embargo desconocen el motivo por el cual estos expedientes hayan podido aparecer en la vía pública, dado que estaba ubicada en un archivo compartido por los departamentos de Servicios Sociales, Juventud y Mujer en un edificio de servicios múltiples, propiedad del Ayuntamiento y distinto de la Casa do Concello, bajo llave, si bien no pueden precisar las personas que disponen de copia de dicha llave ( folio 8 ). CUARTO: La documentación aportada por la denunciante que corresponde a expedientes de los Servicios Sociales del Ayuntamiento de Gondomar. consistente en : a) de D. E.E.E.: - Informe de una trabajadora social del Ayuntamiento de Gondomar acerca del afectado, informando, entre otros datos, ser paralítico cerebral con una minusvalía del 98%. - Fotocopia del DNI de Dª J.J.J., madre del afectado, así como fotocopia del libro de familia.

557

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

- Informe Social, emitido por el Asistente social de atención primaria del Ayuntamiento de Gondomar y dirigido a la Fundación O.N.C.E., recogiendo la composición familiar, situación económica, vivienda, y problemática del afectado. - Fotocopia de la primera página de una libreta de ahorros, en la que constan todos los dígitos de la cuenta. - Fotocopia de una nómina de D. K.K.K., padre del afectado. b) de D. F.F.F. y familia: - Copia del atestado instruido por lesiones por agresión a la madre por parte del padre, que se encontraba bebido. - Informe social en el que se recoge la composición familiar, se relata la situación económico-laboral, el alcoholismo de los padres, desorganización familiar, vivienda carente de condiciones de habitabilidad, sin agua, luz ni cuarto de baño. La informante recomienda la acogida de los hijos del matrimonio en un centro de Protección de Menores. - Informe psicopedagógico de D. L.L.L.. c) de Dª. G.G.G. : - Solicitud de pensión de invalidez no contributiva a favor de la afectada, con motivo de una minusvalía psíquica. Fotocopias del DNI y de la habitualmente denominada “cartilla de la Seguridad Social” (modelo P1 del Instituto Nacional de la Seguridad Social) de D. M.M.M., en la que figuran los miembros de la familia, entre ellos la afectada. - Informe Social emitido por la Asistente Social del Equipo de Reinserción Familiar, referido a D. M.M.M., esposo de la afectada. Recoge el informe los antecedentes familiares, referidos a los tres hijos habidos de la pareja y dados posteriormente en adopción, debido a que ambos miembros de la pareja están incapacitados para cuidar de los menores. Se indica en el informa que la afectada se encuentra incapacitada judicialmente. - Aparecen dos informes sociales más. d) de Dª. N.N.N. :

558

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

- Solicitud de domiciliación bancaria de la afectada, en la que se incluye copia de la primera página de una libreta de ahorro, en la que aparecen el número de cuenta completo. - Escrito del Ayuntamiento de Madrid dirigido al Ayuntamiento de Gondomar, en que se remite un informe relativo a la afectada respecto a información padronal. - Certificado de inscripción padronal emitido por el Ayuntamiento de Madrid respecto de la afectada. - Escrito remitido por el Ayuntamiento de Madrid a la afectada, por el que se le comunica su incorporación al Ingreso Madrileño de Integración. - Escrito remitido a la afectada por la Conselleria de Sanidade e Servicios Sociais de la Xunta de Galicia, por el que se le comunica la modificación de la cuantía de una pensión de invalidez no contributiva. e) de D. I.I.I. : -Fotocopias del DNI del afectado y de D.ª O.O.O., así como del libro de familia de ambos. - Expediente de emergencia social de D. P.P.P.. - Informe emitido por el Departamento de Servicios Sociales del Ayuntamiento de Gondomar, en el que se especifica que la pareja es de raza gitana. - Diversos certificados de inscripción en el Registro Civil. - Fotocopia de la primera página de una libreta de ahorro, en la que aparece el número de cuenta completo. QUINTO:

El

Acuerdo

de

Inicio

de

Declaración

de

Infracción

de

las

Administraciones Publicas en el punto 3 de la parte dispositiva recoge lo siguiente: “Notificar el presente Acuerdo al AYUNTAMIENTO DE GONDOMAR,, en Plaza Dr. Latino Salgeiro 1, 36380 Gondomar, Pontevedra, otorgándole un plazo de QUINCE DÍAS HÁBILES para que formule las alegaciones y proponga las pruebas que considere convenientes y ejercite el derecho a la audiencia, de

559

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

acuerdo con lo preceptuado en el artículo 16.1 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora. De no efectuar alegaciones sobre el contenido del presente acuerdo de iniciación podrá ser considerado propuesta de resolución, de acuerdo con lo dispuesto en el artículo 13.2 del citado Real Decreto 1398/1993. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El Real Decreto recoge: señala : 1398/1993, de 4 de agosto, Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, en su articulo 13, “1. La iniciación de los procedimientos sancionadores se formalizarán con el contenido mínimo siguiente: a) Identificación de la persona o personas presuntamente responsables. b) Los hechos sucintamente expuestos que motivan la incoación del procedimiento, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción. c) Instructor y, en su caso, Secretario del procedimiento, con expresa indicación del régimen de recusación de los mismos. d) Organo competente para la resolución del expediente y norma que le atribuya tal competencia, indicando la posibilidad de que el presunto responsable pueda reconocer voluntariamente su responsabilidad, con los efectos previstos en el artículo 8. e) Medidas de carácter provisional que se hayan acordado por el órgano competente para iniciar el procedimiento sancionador, sin perjuicio de las que se puedan adoptar durante el mismo de conformidad con el artículo 15. f) Indicación del derecho a formular alegaciones y a la audiencia en el procedimiento y de los plazos para su ejercicio.

560

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

2. El acuerdo de iniciación se comunicará al instructor, con traslado de cuantas actuaciones existan al respecto, y se notificará al denunciante, en su caso, y a los interesados, entendiendo en todo caso por tal al inculpado. En la notificación se advertirá a los interesados que, de no efectuar alegaciones sobre el contenido de la iniciación del procedimiento en el plazo previsto en el artículo 16.1, la iniciación podrá ser considerada propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada, con los efectos previstos en los artículos 18 y 19 del Reglamento”. En el presente caso, el Ayuntamiento de Gondomar no ha formulado alegaciones sobre el contenido del acuerdo de iniciación del procedimiento, por lo que, en virtud de lo dispuesto en el trascrito artículo 13.2 del Real Decreto 1398/1993, dicho acuerdo será considerado Propuesta de Resolución, toda vez que su contenido se pronuncia de forma precisa sobre la responsabilidad imputada. En consecuencia, tras elevar el expediente al órgano sancionador, procede su resolución. III En cuanto al fondo del asunto se imputa una infracción al articulo 9 y 10 la Ley Orgánica 15/1999, de 13 /12, de protección de datos de carácter Personal LOPD-. El artículo 9 de la LOPD dispone lo siguiente: “1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”. “2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas”.

561

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

“3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.” El trascrito articulo 9 de la LOPD establece el principio de “seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado”. Para poder delimitar cuáles sean los accesos que la Ley pretende evitar exigiendo las pertinentes medidas de seguridad es preciso acudir a las definiciones de “fichero” y “tratamiento” contenidas en la LOPD. En lo que respecta a los “ficheros” el artículo 3.a) los define como “todo conjunto organizado de datos de carácter personal” con independencia de la modalidad de acceso al mismo. Por su parte la letra c) del mismo artículo permite considerar “tratamiento de datos” cualquier operación o procedimiento técnico que permita, en lo que se refiere al objeto del presente expediente, la “comunicación” o “consulta” de los datos personales tanto si las operaciones o procedimientos de acceso a los datos son automatizados como si no lo son. Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “...que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Sintetizando las previsiones legales puede afirmarse que: a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso -la comunicación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD. b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca están, también, sujetos a la LOPD.

562

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

c) La LOPD impone al responsable del fichero y al responsable del tratamiento la adopción de medidas de seguridad, cuyo detalle se remite a normas reglamentarias, que eviten accesos no autorizados. d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave. Partiendo de tales premisas deben analizarse a continuación las previsiones que el derogado Real Decreto 994/1998 prevé para garantizar que no se produzcan accesos no autorizados a los ficheros. El artículo 19 del Reglamento “ Control de acceso físico”, dispone lo siguiente: “ Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal” En

el

presente

caso,

ha

quedado

probado

que

la

documentación

correspondiente a los expedientes administrativos relacionada en el Hecho Probado Cuarto de la presente resolución que la denunciante encontró abandonada en una calle del Ayuntamiento de Gondomar se corresponde con expedientes en soporte “papel” de los Servicios Sociales de dicho Ayuntamiento de los que es responsable y que no contaban con las medidas de seguridad exigibles, en este caso, de nivel “alto” requerida para los datos especialmente protegidos de “ salud” y “ origen racial”, como entre otros que recogía la documentación aportada por la denunciante. Esto es, el Ayuntamiento de Gondomar incurrió con ello en la infracción tipificada en el artículo 9 de la LOPD al no contar en los ficheros “papel” con las medidas de seguridad de nivel “alto”, imputación a la que no ha respondido IV No obstante lo expuesto, el transcrito articulo 9. 3 de la LOPD prevé que “ Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros” y el citado Real Decreto 994/1999 por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que

563

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

contengan datos de carácter personal, se refiere a los ficheros “automatizados”, de suerte que, en el actualidad, dicho reglamento está derogado por el Real Decreto 1720/2007, de 21/12, por el que se aprueba el Reglamento de desarrollo de la LOPD. Pues bien, el vigente Reglamento en su Disposición transitoria segunda “Plazos de implantación de las medidas de seguridad” , es del tenor siguiente: “ 2.ª Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente Real Decreto: a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor. b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor. c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor. 3.º Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada del presente Real Decreto deberán ser implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo.” Dada la ausencia de regulación respecto a los ficheros no automatizados y como quiera que el fichero del que procede la información difundida se encuentra en soporte “papel”, es decir, no automatizado, y con datos de “salud” y “ origen racial”, se puede concluir que el Ayuntamiento de Gondomar cuenta con un período de dos años para implementar y adaptarse a las medidas de seguridad de nivel “alto” para los ficheros en soporte “papel” , previstas en el R.D. 1720/2007. Por lo que, procede el archivo de las actuaciones de la infracción del articulo 9 de la LOPD. V El artículo 10 de la LOPD, establece: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que

564

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia n.º 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”. En este sentido, la Sentencia de la Audiencia Nacional, de fecha 14/09/2002, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo, lo siguiente: . El deber de secreto trata de salvaguarda o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control y disposición sobre sus datos. Este deber de secreto que, incumbe según el articulo 10 de la LOPD al “responsable del fichero y a quien interviene en cualquier fase del tratamiento”, pretende que los datos personales no puedan

565

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

conocerse por terceros, salvo de acuerdo con lo dispuesto en otros preceptos de la LOPD con el articulo 11 o 12 de la citada norma. En el presente caso, ha quedado acreditado que los expedientes de los Servicios Sociales del Ayuntamiento de Gondomar referentes a los afectados relacionados en el Hecho Probado Cuarto contienen datos personales de todo tipo y “especialmente protegidos” referentes a “ salud” y “ origen racial” de las personas incluidos en los mismos a los que tuvo acceso la denunciante. El artículo 7.3 de la LOPD señala: “3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados automatizadamente y cedidos cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente.” Pues bien, la difusión y acceso por terceros producida a los citados escritos en los que se recogen, entre otros, datos sobre “salud” y “ origen racial” de los afectados incluidos en los expedientes administrativos del Ayuntamiento de Gondomar, dicha conducta se encuentra tipificada en el artículo 10 de la LOPD que impone al responsable del fichero o del tratamiento el “deber de secreto” sobre los datos de que es responsable, en este caso, el Ayuntamiento de Gondomar VI El artículo 44.4.g) califica como infracción muy grave: “La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas”. En consecuencia, de cuanto se ha señalado el Ayuntamiento de Gondomar ha incurrido en la infracción descrita al haber vulnerado el “deber de secreto” de datos personales de los afectados incluidos en expedientes administrativos del Ayuntamienbto de Gondomar, entre otros, referidos a la “salud“ y “origen racial”.

566

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que Ayuntamiento De Gondomar ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica. SEGUNDO: REQUERIR al AYUNTAMIENTO DE GONDOMAR , para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE GONDOMAR, en Plaza Dr. Latino Salgeiro 1 – 36380 GONDOMAR (Pontevedra) y a Dª. D.D.D., en (C/.....) CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española

567

PROCEDIMIENTOS SANCIONADORES – VARIOS Agencia Española de Protección de Datos

de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 5 de diciembre de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte

568

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

RECURSO DE INSCONSTITUCIONALIDAD RESPECTO DE LOS ARTS. 21.1 Y 24.1 Y .2 LOPD Sentencia 292/2000, de 30 de noviembre de 2000 del Tribunal Constitucional. Recurso de inconstitucionalidad respecto de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. El Pleno del Tribunal Constitucional, compuesto por don Pedro Cruz Villalón, Presidente, don Carles Viver Pi-Sunyer, don Rafael de Mendizábal Allende, don Julio Diego González Campos, don Manuel Jiménez de Parga y Cabrera, don Tomás S. Vives Antón, don Pablo García Manzano, don Pablo Cachón Villar, don Fernando Garrido Falla, don Vicente Conde Martín de Hijas, don Guillermo Jiménez Sánchez y doña María Emilia Casas Baamonde, Magistrados, ha pronunciado EN NOMBRE DEL REY la siguiente SENTENCIA En el recurso de inconstitucionalidad núm. 1463-2000, interpuesto por el Defensor del Pueblo, contra los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ha comparecido y alegado el Abogado del Estado. Ha sido Ponente el Magistrado don Julio Diego González Campos, quien expresa el parecer del Tribunal. I. Antecedentes 1. Por escrito registrado en este Tribunal el 14 de marzo de 2000,el Defensor del Pueblo (art. 162 CE; art. 32 LOTC; arts. 5.4 y 29 de la Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo), interpuso recurso de inconstitucionalidad contra incisos de los arts. 21.1 ("Comunicación de datos entre Administraciones Públicas") y 24.1 y 2 ("Otras excepciones a los derechos de los afectados") de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) por vulneración de los arts. 18.1 y 4 y 53.1 CE. 2. A juicio del Defensor del Pueblo los incisos recurridos de ambos preceptos

569

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

lesionan el contenido esencial de los derechos fundamentales del art. 18.1, en relación con lo dispuesto en su apartado 4, y la reserva de ley del art. 53.1 CE. Dichos incisos tienen el siguiente tenor literal: el art. 21.1 LOPD donde expresa "o por disposición de superior rango que regule su uso"; el art. 24.1, al referirse a: "funciones de control y verificación de las administraciones públicas" y "persecución de infracciones ... administrativas"; y el art. 24.2, primer párrafo, al establecer que "Lo dispuesto en el artículo 15 [derecho de acceso a sus datos por los afectados] y en el apartado 1 del artículo 16 [derecho de rectificación y cancelación] no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección". a) En lo que hace a la impugnación parcial del art. 21.1 LOPD, al regular la comunicación de datos entre Administraciones Públicas, en relación con lo dispuesto en el art. 20.1 LOPD, aduce el Defensor del Pueblo en su recurso que la interpretación conjunta de los dos preceptos legales recurridos produce el resultado de que la LOPD posibilita, en primer lugar, que puedan hacerse cesiones de datos entre Administraciones Públicas para fines distintos a los que motivaron su recogida. En segundo lugar, que el titular de esos datos no sea informado, cuando se recaban, de la posibilidad de dicha cesión, al no estar prevista en la norma que crea y regula el fichero. En tercer lugar, que la propia cesión se efectúa sin el consentimiento del afectado. Y, en cuarto y último lugar, que la autorización para efectuar esas cesiones puede contenerse en una norma de rango inferior a la Ley. Razona el Defensor del Pueblo que el mentado inciso de este precepto vulnera lo dispuesto en el art. 53.1 CE al permitir que una norma de rango inferior a la Ley autorice la cesión de datos entre Administraciones Públicas sin el consentimiento ni el conocimiento del afectado, e incluso para fines diversos para los que fueron recogidos y automatizados. El art. 21.1 LOPD, debe ponerse en relación con el art. 20 de la misma Ley, el cual, al regular la creación, modificación y supresión de ficheros de titularidad pública establece que dicha creación, modificación o supresión sólo podrá hacerse por medio de "disposición general publicada en" el BOE, que deberá indicar determinados extremos, características y contenidos del fichero creado o modificado, que el precepto legal enumera. Pero esa

570

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

disposición general que puede crear, modificar o suprimir el fichero de titularidad pública bien puede ser una norma de rango infralegal, y en la práctica suelen ser esas disposiciones órdenes ministeriales y resoluciones administrativas emanadas de muy diversas autoridades. El art. 21.1, estatuyendo una excepción adicional al consentimiento previo del interesado a la comunicación de sus datos entre ficheros a las previstas en el art. 11 LOPD, permitiría que la propia norma de creación del fichero, o una norma de superior rango que regule su uso, autoricen la cesión de datos entre Administraciones. Lo que supone, en último término, y habida cuenta de que muchos de los ficheros se crean por disposiciones generales de rango inferior incluso al Decreto, que una norma de rango reglamentario podría autorizar dicha cesión y, en consecuencia, establecer una excepción a la prohibición genérica de cesión impuesta en ese mismo apartado del art. 21 LOPD. Así pues, sigue razonando el Defensor del Pueblo, el inciso del art. 21 LOPD impugnado vulneraría la Constitución al permitir la cesión de datos para fines diferentes a aquéllos para los que han sido recabados, sin consentimiento ni conocimiento del interesado y con cobertura en una norma de rango inferior a la Ley. De este modo el art. 21.1 LOPD contendría una excepción a la regla del art. 11 LOPD, según la cual la cesión de datos sólo es posible previo consentimiento del interesado; consentimiento que puede ser excepcionado si la cesión viene dispuesta por una Ley. El art. 21.1 LOPD permite la cesión de datos sin consentimiento de su titular siempre que así lo autorice una norma reglamentaria. De este modo, la LOPD permite que reglamentariamente se imponga un límite al derecho fundamental a la autodeterminación informativa reconocido en el art. 18.4 CE al permitir la cesión de datos personales sin previo consentimiento del afectado; limitación que tan sólo y de forma muy restringida podría establecer una Ley. Por otra parte, esa remisión al reglamento esconde una remisión en blanco al Ejecutivo para que fije a su arbitrio, justamente, esos límites, lo que contraría la reserva de ley que a tal efecto establece el art. 53.1 CE. Dice el Defensor del Pueblo que la facultad de consentir sobre la cesión de datos personales forma parte y es una garantía necesaria del derecho a la intimidad de su titular (arts. 4, 5 y 11 LOPD), pues sin esa facultad sería imposible controlar mínimamente la circulación de la información que las Administraciones hayan

571

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

recabado sobre su persona, debilitando la protección que a dichos datos ofrece la propia Constitución. Y esto sucedería si se autorizase a la Administración a organizar un tráfico de datos personales sin el conocimiento y consentimiento de los interesados (apartado 4 del art. 21 LOPD) mediante normas de la propia Administración que ni siquiera tienen fijados por la LOPD los criterios y garantías que hayan de seguir y respetar. Cierto es, aduce el recurrente, que ese derecho de control sobre los propios datos personales tiene límites que la propia LOPD prevé, remitiendo a la ley para su precisión, lo que se aviene con lo dispuesto en el art. 53.1 CE. Pero no lo es menos que el art. 21.1 LOPD regula la posibilidad de que el límite se fije en una norma con rango inferior a la ley mediante una remisión, además, en blanco, lo que es contrario frontalmente a la reserva de ley del citado art. 53.1 CE. Tras un breve repaso a la doctrina de este Tribunal sobre el derecho a la intimidad, haciendo hincapié en la advertencia que el propio Tribunal Constitucional ya hizo en su día sobre los riesgos que entrañan los avances tecnológicos para la incolumidad de la esfera privada e íntima de los individuos (con cita de la STC 110/1984), y recordando lo dicho por el Tribunal Constitucional de la República Federal de Alemania en su Sentencia de 15 de diciembre de 1983 sobre la Ley del Censo sobre el derecho a la autodeterminación informativa, insiste el recurrente en aquel riesgo que la informática, y las infinitas posibilidades que

esta

técnica

ofrece

para

el

tratamiento,

almacenamiento

y

entrecruzamiento de datos personales, implica para la intimidad y el pleno disfrute de los derechos de los ciudadanos. Y ante dicho riesgo, el Defensor del Pueblo considera garantía elemental conferir al ciudadano el poder de controlar el flujo de información relativa a su persona, para lo que resulta indispensable conocer y consentir su almacenamiento y uso. Y así lo ha reconocido, dice el Defensor del Pueblo, tanto la jurisprudencia de este Tribunal (STC 94/1998) como la propia LOPD, cuyos arts. 4.1, 5.1 a) y 11.1 recogen en esencia esos principios. En consecuencia, sigue argumentando la Institución recurrente, la facultad del titular de los datos de consentir o no su comunicación o cesión a terceros resulta ser una garantía necesaria para salvaguardar su intimidad y poder ejercer libremente sus derechos constitucionales e infraconstitucionales. Sin esa facultad ya no es posible controlar el flujo de información sobre uno

572

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

mismo, y, en esa medida, desaparecería la protección constitucional frente al uso de la informática. Y en nada empece este argumento el hecho de que expresamente no contemple esa facultad el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981, y ratificado por España el 27 de enero de 1984, pues hay que entenderla implícita en su regulación, ya que sin ella buena parte de sus garantías perderían toda su eficacia. Defensor del Pueblo señala también en su alegato que el derecho a la intimidad no es absoluto y la Ley puede imponerle límites con el fin de proteger otros derechos constitucionales o bienes constitucionalmente protegidos, siempre que ese límite sea necesario, proporcionado y respetuoso con el contenido esencial del derecho fundamental (SSTC 110/1984, 143/1994). Añade a continuación que la LOPD no es ajena a estas ideas, ya que su art. 11 sienta el principio de que sólo cabe la cesión de datos para fines relacionados directamente con las funciones legítimas de cedente y cesionario y mediando previo consentimiento del afectado (incluso el consentimiento otorgado para la cesión, que es revocable, podrá tenerse por nulo de estar viciado en los términos del apartado 3 del citado precepto LOPD). El propio art. 11 fija las excepciones al previo consentimiento del afectado, entre las que se cuenta el caso de que una Ley así lo prevea. Este criterio, que a juicio del Defensor del Pueblo estaría conforme con lo establecido en el art. 53.1 CE, se quiebra con la adición de una nueva excepción en el art. 21.1 LOPD, tal y como ya se expuso. Lo que supone la previsión del art. 21.1 LOPD es una auténtica deslegalización de una materia reservada a la Ley y una remisión en blanco al Reglamento para regular un límite a un derecho fundamental sin más precisiones, cuando este Tribunal ya ha rechazado esa posibilidad en la STC 83/1984. La LOPD tan sólo exige para establecer esa excepción al principio de previo consentimiento del afectado que se establezca en una disposición general de superior rango a la de creación del fichero, sin concretar cuáles sean los límites, finalidades, causas, o circunstancias que puedan justificar semejante restricción a un derecho fundamental. b) Impugna también en su recurso el Defensor del Pueblo el art. 24.1 y 2 LOPD en los incisos ya transcritos más arriba, por infracción de los arts. 18.1 y 4 y 53.1 CE, al

573

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

no respetar el contenido esencial de los derechos fundamentales al honor y a la intimidad personal y familiar. Arguye en su impugnación que el inciso mentado del apartado 1 del art. 24 exime a la Administración de cumplir con sus obligaciones de información y advertencia del art. 5.1 y 2 LOPD (facultades de acceso a los datos, de rectificación y cancelación de los mismos, y de oponerse a su tratamiento automatizado) si tal cosa pudiere impedir o dificultar gravemente las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la persecución de infracciones administrativas. En el caso del primer párrafo del apartado 2 de ese mismo precepto, se priva a los individuos de sus derechos de acceso a sus datos en poder de las Administraciones Públicas y a que, en su caso, se proceda obligatoriamente por esas Administraciones a su rectificación y cancelación de ser requeridas por el interesado para ello. A juicio del Defensor del Pueblo estas excepciones a los derechos de los titulares de los datos lesionan el contenido esencial del derecho fundamental a la intimidad frente al uso de la informática (arts. 18.1 y 4, y 53.1 CE), al imponerle restricciones injustificadas y desproporcionadas que lo hacen impracticable y lo despojan de su necesaria protección. Procede a continuación el Defensor del Pueblo a recordar la jurisprudencia de este Tribunal sobre el límite que el respeto al contenido esencial de un derecho fundamental impone a la Ley el art. 53.1 CE (SSTC 11/1981 y 196/1987) y lo que sobre el derecho a la autodeterminación informativa ha dicho la STC 254/1993, y a examinar la normativa internacional sobre la materia (art. 10.2 CE), en especial la Declaración Universal de Derechos Humanos, el art. 8.2 del Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales, los arts. 1, 5, 6, 8 y 9 del Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal celebrado en Estrasburgo en 1981, y los arts. 6, 10, 11, 12, 13 y 14 de la Directiva 95/46/CE, en relación con la LOPD. A resultas de este examen, concluye el Defensor del Pueblo que el art. 24.1 y 2 LOPD ha ampliado injustificada y arbitrariamente las excepciones que ya preveían los acuerdos y normas internacionales indicadas al derecho a la intimidad frente al uso de la informática, hasta el punto de desnaturalizar este derecho, volviéndolo impracticable y despojándolo de su necesaria protección. En el caso de la excepción prevista en el apartado 1 del art. 24 LOPD, la cláusula

574

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

para determinar qué fines justifican la limitación de aquellos derechos de acceso, rectificación y cancelación es tan genérica que prácticamente tiene cabida en la misma toda la actividad administrativa, desconociendo así el Legislador orgánico el contenido esencial de los derechos fundamentales del art. 18.1 CE. De este modo, arguye el recurrente, los límites que de esta forma pueden imponerse a los derechos de acceso, rectificación y cancelación de datos, parte esencial de las garantías del derecho al honor y a la intimidad del art. 18.1 CE, los vacían de contenido, dificultan su ejercicio más allá de lo razonable o los despojan de su ineluctable protección, imponiéndole límites más allá de lo que el contenido esencial de los mismos permite, lesionando, en consecuencia, el art. 53.1 CE. Por último, y respecto del primer párrafo del art. 24.2 LOPD, también se asevera su extralimitación,

pues

ni

tiene

cobertura

en

los

mencionados

textos

internacionales, ni la indeterminación en la definición de semejante límite se compadece con las exigencias que a tal fin imponen el art. 18.1 y 4 en relación con el art. 53.1 CE. El art. 24.2 LOPD excede en este caso los límites que la propia LOPD establece en sus arts. 22 y 23 (de conformidad con lo dispuesto en la citada normativa internacional). Así, esa referencia al "interés público" es una nueva cláusula en blanco bajo la cual podría encontrar cobijo toda la actividad administrativa, cuando menos porque, con arreglo al art. 103 CE, toda la actividad administrativa sirve a ese interés. Y la mención a "intereses de terceros dignos de protección" es igualmente vidriosa, y de querer referirse a cualesquiera intereses ajenos, y no sólo a la protección de sus derechos fundamentales, como así parece a la vista de lo dispuesto en el art. 23.1 LOPD, se estaría vulnerando una vez más el contenido esencial de los derechos al honor, a la intimidad y a la propia imagen, al vaciar de contenido efectivo aquellos otros que constituyen sus garantías capitales en el ámbito del tratamiento automatizado de datos. Sostiene el Defensor del Pueblo que la garantía constitucional introducida por el art. 18.4 CE, instrumental de la de los derechos al honor y a la intimidad del párrafo 1 del art. 18 CE, que en sí misma es un derecho fundamental (STC 254/1993) no permite límites mayores o más intensos que los previstos en los acuerdos internacionales ratificados en España, porque en ellos se determina el contenido mínimo del que dispone el derecho para garantizar su eficacia (art. 10.2 CE y STC 64/1991), ni hay precepto

575

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

en nuestra Constitución que autorice imponer esos mayores límites. En consecuencia, los incisos impugnados del art. 24 LOPD no respetan el contenido esencial del derecho proclamado en el art. 18.4 CE y no permiten garantizar adecuadamente el honor y la intimidad personal y familiar de los ciudadanos al establecer límites al mismo sin cobertura constitucional. 3. Por providencia de 28 de marzo de 2000 se acordó por la Sección Cuarta de este Tribunal admitir a trámite el recurso de inconstitucionalidad promovido por el Defensor del Pueblo y dar traslado de la demanda y documentos presentados, conforme a lo establecido en el art. 34 LOTC, al Congreso de los Diputados y al Senado, por conducto de sus Presidentes, y al Gobierno, por conducto del Ministerio de Justicia, para que pudieren personarse en el proceso y formular cuantas alegaciones estimasen convenientes. Asimismo se acordó la publicación de la incoación del recurso en el BOE, lo que así se hizo en el de 8 de abril de 2000. 4. Por escrito registrado en este Tribunal el 5 de abril de 2000, el Presidente del Congreso de los Diputados comunicó el Acuerdo de la Mesa de la Diputación Permanente de no personarse en el proceso ni formular alegaciones, no obstante poner a disposición del Tribunal las actuaciones que pueda precisar. 5. El Abogado del Estado, en la representación que ostenta del Gobierno de la Nación, presentó su escrito de alegaciones en este Tribunal el 18 de abril de 2000. Tras la glosa de la jurisprudencia de este Tribunal sobre el contenido del art. 18.4 CE

(SSTC

254/1993,

143/1994,

11/1998,

94/1998,

202/1999

y

233/1999),

deteniéndose en especial en lo que este Tribunal tiene dicho sobre la congruencia y racionalidad en la utilización de los datos personales recabados, como principios cardinales de la protección de datos, y la nítida conexión que ha de mediar entre la información personal recogida y el legítimo objetivo por el que se ha solicitado (SSTC 94/1998 y 202/1999), o los principios de necesidad y adecuación que rigen la recogida y almacenamiento de datos personales por las Administraciones Públicas (STC 254/1993), así como sobre la imposibilidad de que se transmitan datos personales almacenados salvo que la Ley disponga lo contrario o la consecución de finalidades constitucionalmente relevantes puedan exigir esa cesión (SSTC 143/1994 y 233/1999). Repara también el

576

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

Abogado del Estado en la circunstancia de que la Directiva 95/46/CE no es un tratado o acuerdo internacional a los efectos de lo dispuesto en el art. 10.2 CE (SSTC 28/1991 y 128/1999). El Abogado del Estado considera que los incisos impugnados de los arts. 21 y 24 LOPD no vulneran los arts. 18.1 y 4 y 53.1 CEE cuanto al primero, llama la atención sobre lo paradójico de que se haya recurrido por inconstitucional el inciso del párrafo 1 del art. 21 en el que se menciona una "disposición de rango superior", y, en cambio, se haya hecho caso omiso de que ese mismo párrafo contempla la posibilidad de que la excepción al derecho a consentir la cesión pueda estar prevista por la norma que ha creado el fichero público, ya que las mismas razones dadas para impugnar el primer caso debieran servir para el segundo. También repara el Abogado del Estado en que no se ha recurrido el art. 20.2 e) LOPD a pesar de que establece que la norma que modifique la de creación del fichero también podrá establecer la cesión de datos siempre que así lo indique expresamente. Señala el Abogado del Estado que el art. 21.1 LOPD en sí mismo considerado nada dice sobre si es necesario o no el consentimiento del interesado para ceder datos en las condiciones que establece el precepto legal en cuestión, siendo quienes lo hacen el art. 11.2 e) y el apartado 4 del art. 21, ambos LOPD, que no han sido impugnados, según los cuales no es preciso recabar el

consentimiento del

interesado para ceder sus datos

entre

Administraciones Públicas si el posterior tratamiento de los datos lo es con fines históricos, estadísticos o científicos, y en los supuestos de cesión para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, o cuando han sido recogidos y tratados por una Administración Pública con destino a otra, respectivamente. Por ello, también encuentra el Abogado del Estado incoherente que se recurra el art. 21.1 LOPD en su referencia a una disposición de rango superior, y no se haga lo propio con el apartado 4 de dicho precepto. a) Dicho esto, el Abogado del Estado aduce que el art. 21.1 LOPD establece una regla general prohibitiva y una serie de excepciones a dicha regla. La regla prohíbe la cesión de comunicación de datos entre las Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas (art. 21.1, primer inciso, LOPD). Esta prohibición iría más

577

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

allá de lo que resulta de lo dispuesto en el art. 4.2 LOPD ("Principios de la protección de datos"), relativo a la calidad de los datos, en el que se prohíbe el uso de los datos almacenados y tratados para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos [y en este mismo sentido los arts. 5 b) del Convenio de Estrasburgo y 6.1 b) de la Directiva 95/46/CE], sin que se advierta incompatibilidad alguna por el hecho de que se usen los datos personales tratados para ejercer competencias administrativas distintas de aquéllas por las que fueron recogidos. Abunda esta idea el que el principio de lealtad institucional y las reglas de acción y cooperación interadministrativa imponen en ciertos casos el suministro de datos entre Administraciones Públicas para el ejercicio de las respectivas competencias [art. 4.1 c), d) y 2 Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y art. 55 c) y d) de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local]. No obstante, sigue razonando el Abogado del Estado, el art. 21.1 LOPD restringe esa posibilidad en el sentido indicado. Esta regla prohibitiva tiene excepciones, pues ese mismo apartado 1 del art. 21 LOPD establece que la comunicación de datos en esas circunstancias es posible si la misma hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Las excepciones lo son sólo a la prohibición de comunicar datos entre Administraciones Públicas, pero no a si esa comunicación precisa o no del previo consentimiento del afectado. La regla del consentimiento para la cesión de datos debe buscarse en el apartado 4 del art. 21 LOPD (no impugnado en el recurso del Defensor del Pueblo), a lo que debe añadirse, además,

que

el

consentimiento

del

interesado

a

la

comunicación

interadministrativa de sus datos personales ni se prevé en el art. 8 del Convenio de Estrasburgo (que no reconoce un derecho a consentir la cesión), ni su regulación se contiene en el Título III de la LOPD relativo a los derechos de las personas, sino en el Título II de la Ley que trata de los principios de la protección de datos. De ello colige el Abogado del Estado que las normas que regulan el consentimiento del interesado a la cesión de sus datos personales no lo están haciendo del ejercicio de un derecho fundamental y, por tanto, no están sometidas a la reserva de ley del art. 53.1 CE. Y no lo son porque el

578

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

consentimiento en cuestión no está incluido entre los derechos de la persona, y, aun admitiendo que ese consentimiento previo formase parte de la esfera protegida por el derecho fundamental amparable, la norma que lo regula es el apartado 4, y no el 1, del art. 21 LOPD, que no ha sido impugnado. Por último, tampoco esa excepción al consentimiento previo violaría la reserva de ley del art. 53.1 CE, ya que tanto los supuestos en los que es posible la cesión de datos como cuando no se precisa el previo consentimiento del afectado para hacerlo, están previstos en la propia LOPD, arts. 21.1 y 4. Tampoco se quebraría la reserva de ley del art. 53.1 CE aun en el caso de considerar que el art. 21.1 LOPD autoriza a una norma reglamentaria para no recabar el previo consentimiento del afectado a la cesión de sus datos personales entre Administraciones Públicas, ya que no sólo bastaría para salvar la constitucionalidad del precepto con indicar que por disposición de rango superior deben excluirse las reglamentarias, sino que, además, aun siendo factible esa posibilidad, se satisface la exigencia de la reserva del art. 53.1 CE porque con el requisito de que sea norma de rango superior se está limitando ya la potestad reglamentaria y se posibilita una regulación subordinada a la Ley. Así es, en opinión del Abogado del Estado, porque, en primer lugar, la comunicación de datos debe estar prevista en una norma cuya publicidad formal permita a los afectados conocer suficientemente la dirección de los flujos de información sobre sus datos, así como impugnar en vía contencioso-administrativa la posible cesión de los suyos. Por tanto, el art. 21.1 LOPD no otorga a la Administración un poder arbitrario de cesión de datos personales, sino un poder discrecional de apreciación perfectamente fiscalizable y controlable por los órganos jurisdiccionales del orden contencioso-administrativo. Añade a estas garantías el Abogado del Estado las que se desprenden de que la disposición, al ser de rango superior, implica que es confeccionada por un órgano distinto a quien ha creado el fichero público; de la circunstancia de que la controvertida cesión de datos personales debe encuadrarse en los principios de lealtad, auxilio y cooperación interadministrativa mencionados [que cierto reflejo tiene en el art.7 e) de la Directiva 95/46/CE al conceder relevancia a la misión de interés público, no sólo del cedente, sino también del cesionario], evitando que la Administración receptora deba pechar con los costes de una nueva recogida y tratamiento de esos datos, así como

579

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

ahorrándole al ciudadano la molestia de someterse a ella. Por último, la comunicación de datos personales interadministrativa debe ser necesaria, adecuada y proporcionada para el ejercicio de las funciones de la cesionaria y así debe haberlo reconocido la cedente, dice el Abogado del Estado, lo que se halla implícito en la regla misma que regula la cesión, y el Tribunal Constitucional, en las SSTC citadas, ya ha señalado que respetadas esas exigencias y garantizada la seguridad de los datos, resulta legítimo el tratamiento de datos personales y su posterior comunicación. Cierto es que el art. 21.1 LOPD no establece orientaciones o directrices materiales sobre el ejercicio de esa potestad reglamentaria para establecer una comunicación de datos donde antes no se preveía; pero no es menos cierto que tampoco se establecen condiciones a las cesiones contempladas en el art. 11.2 a) (cuando la cesión está autorizada en una ley) o su apartado d) (cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas). En lo que hace a la impugnación del art. 24.1 LOPD (que guarda relación con los arts. 10 y 13.1 de la Directiva 95/46/CE) en sus incisos "impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas" y "la persecución de infracciones administrativas", aduce el Abogado del Estado que dicho precepto excepciona lo previsto en los apartados 1 y 2 del art. 5 LOPD, que confiere a los individuos un derecho de información en la recogida de datos, pero lo hace de forma muy restringida. La Administración Pública puede negar ese derecho de información si al suministrarla impide o dificulta gravemente el ejercicio de las funciones de control y verificación, no bastando que simplemente genere dificultades en su desempeño. En opinión del Abogado del Estado la decisión legislativa de que tal derecho de creación legal deba ceder cuando su ejercicio conlleve la privación de efectividad de aquellas funciones administrativas o se dificulte su desempeño gravemente es perfectamente constitucional.

580

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

En primer lugar, por "funciones de control y verificación", que sin duda son conceptos jurídicos indeterminados, debe entenderse, a juicio del Abogado del Estado, aquellas funciones que supongan comprobar administrativamente si el acto o la actuación de quien está sujeto a tal comprobación se ajusta a las normas que la rigen y al interés general. Es doctrina reiterada del Tribunal (SSTC 69/1989, 219/1988, 150/1991, 143/1992, 144/1992, /1992), señala el Abogado del Estado, que no hay inconveniente constitucional a que el Legislador emplee conceptos jurídicos indeterminados, incluso en normas sancionadoras, siempre que sean razonablemente concretables en virtud de criterios lógicos, técnicos o de experiencia con los que pueda evitarse en todo lo posible el riesgo de arbitrariedad en su empleo. Por otra parte, grandes esferas de la actividad administrativa (como la prestacional o la sancionadora o ablativa de derechos e intereses privados) quedan fuera de esas funciones de comprobación y verificación. En segundo lugar, nada impide considerar que esas funciones deben estar ligadas, siquiera ocasionalmente, con la seguridad pública, la prevención de infracciones o un interés económico o financiero importante [en el mismo sentido que el art. 13.1 f) Directiva 95/46/CE]. En tercer y último lugar, el que el art. 24.1 LOPD prevea esa excepción al derecho de información no supone en modo alguno que el ciudadano no pueda conocer la existencia, fines y responsable del fichero público en cuestión, pues semejante información es accesible consultando el Registro General de Protección de Datos [art. 39.2 a) y e) LOPD] o acudiendo a la disposición general creadora del fichero, que ha de estar publicada (art. 20.1 LOPD). Por tanto, el inciso impugnado respeta lo dispuesto en el art. 8 a) del Convenio de Estrasburgo y el art. 12 a) de la Directiva 95/46/CE, porque la negativa a proporcionar puntual información al interesado contemplada en el precepto recurrido no impide el acceso a la información general del fichero así como el recurso ante la vía contencioso-administrativa contra toda disposición contraria a lo dispuesto en el art. 20.2 LOPD en caso de que se omita en la disposición reguladora del fichero alguna de las indicaciones especificadas en ese precepto [lo que también satisface lo dispuesto en el art. 8 D) del Convenio de Estrasburgo y el art. 22 de la Directiva 95/46/CE]. b)

El

Abogado

del

Estado

aborda

a

continuación

la

tacha

de

inconstitucionalidad puesta por el Defensor del Pueblo al segundo inciso aludido

581

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

del art. 24.1 LOPD, el referido a la persecución de infracciones administrativas. A su juicio, el reproche merece igual rechazo y por idénticas razones a las ya expuestas, ya que la información denegada individualizadamente es accesible, no obstante, acudiendo a la disposición reguladora del fichero público en cuestión. Pero, además, el art. 25.1 CE es el fundamento de la unidad constitucional de la potestad punitiva tanto penal como administrativa, técnicas represivas hasta cierto punto intercambiables a juicio del Abogado del Estado con los únicos límites que fija el art. 25.3 CE. Lo que permite la equiparación entre infracciones penales y administrativas contenida en el precepto legal impugnado (lo que encontraría apoyo también en las SSTEDH, caso ”zturk , de 21 de febrero de 1984, y Lauko, de 2 de septiembre de 1998). Sin perjuicio de que una parte significativa de las infracciones administrativas se encuadran en la protección de la seguridad pública y los intereses financieros del Estado. Dice el Abogado del Estado señalando que no se alcanza a comprender la razón por la que las infracciones de la deontología en las profesiones reglamentadas [art. 13.1 d) Directiva 95/46/CE] gocen de una posición privilegiada respecto de las administrativas, al no ser objeto de reproche de inconstitucionalidad alguno, cuando las primeras son perseguidas y sancionadas en el Ordenamiento jurídico español por Corporaciones representativas de intereses profesionales, dotando de una protección reforzada a los clientes de los profesionales respecto de los de la colectividad u otros interesados cuando se trata de perseguir y sancionar el incumplimiento de deberes tributarios, los atentados a la seguridad pública, a la estabilidad del sistema financiero, a la conservación del medio ambiente o a los derechos de los consumidores y usuarios que no son clientes de aquellos profesionales. c) Para concluir su escrito de alegaciones, el Abogado del Estado aborda la impugnación del art. 24.2 LOPD. En dicho precepto se excepcionan los derechos de acceso, rectificación y cancelación de los datos personales establecidos en los arts. 15 y 16.1 LOPD, "si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección". Dice el Abogado del Estado que esta limitación de aquellos derechos no debe

582

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

desligarse del segundo inciso del precepto, según el cual "si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas". A su juicio, si el art. 24.2 LOPD se interpreta como lo hace el Defensor del Pueblo acaso sería inconstitucional. Sin embargo, la segunda parte de ese precepto, en la que no se ha reparado, permite interpretarlo adecuadamente. El art. 24.2 LOPD impone límites al derecho de acceso (art. 15 LOPD), y sólo parcialmente a los derechos de rectificación y cancelación (art. 16.1 LOPD), pues afecta sólo al plazo obligatorio para que el responsable del fichero haga efectivos esos derechos, y no limita la rectificación y cancelación de los datos inexactos o incompletos o la obligación del responsable del fichero de notificar al cesionario de los datos su rectificación o cancelación (art. 16.2 y 3 LOPD, respectivamente). La interpretación conjunta del art. 24.2 LOPD con otros preceptos de la misma Ley [arts. 37, a), c), d) y f) y 41 respecto de ciertas potestades tuitivas de la Agencia de Protección de Datos u organismo autonómico pertinente sobre la recta aplicación de la LOPD en este extremo, el art. 44.3. e) y f) en materia de sanciones, y el art. 46.1 y 2 relativo a las medidas de reparación en caso de infracción de la LOPD], y lo dispuesto en su inciso final, arrojan el resultado evidente de que la función del precepto impugnado es conceder al responsable del fichero administrativo únicamente el poder de imponer provisionalmente su punto de vista hasta que se resuelva la controversia definitivamente por el Director de la Agencia de Protección de datos o la autoridad autonómica equivalente. El interés público o de un tercero más digno de protección sólo podrá fundar la decisión provisional o cautelar de denegar el derecho de acceso a los datos personales del afectado o la de realizar en plazo la rectificación o cancelación de los datos, a resultas de lo que decida finalmente el Director de la Agencia de Protección de Datos, ante quien podrá acudir el interesado reclamando que se le reconozcan sus derechos y que se haga cesar o se corrija su conculcación, conforme al art. 46.1 LOPD. En fin, que lo contemplado en el art. 24.2 LOPD no son límites a esos derechos, sino razones que pueden fundar su cautelar denegación al entender provisionalmente el responsable del fichero que pueden existir razones que así lo justifiquen, hasta

583

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

que la Agencia de Protección de Datos adopte una decisión definitiva sobre este extremo, que, en todo caso, será también revisable ante la jurisdicción contencioso-administrativa (una fórmula similar a la empleada en el art. 37.4 de la Ley 30/1992). Decisión la del Director de la Agencia de Protección de Datos que se guiará por los criterios que quepa desprender de los Títulos II y III, de las normas propias del sector del Ordenamiento jurídico en el que el fichero va a ser utilizado y las generales que quepa derivar del régimen jurídico de las Administraciones Públicas establecidas en la Ley 30/1992. Finaliza su alegato el Abogado del Estado indicando que tampoco ve inconveniente en que esos criterios deban respetar lo dispuesto en el art. 9.2 del Convenio de Estrasburgo (art. 13.1 de la Directiva 95/46/CE), encuadrando el interés público en lo dicho en el apartado a) de dicho precepto (medidas necesarias en una sociedad democrática para garantizar la seguridad del Estado, la seguridad publica, los intereses monetarios del Estado y la represión de las infracciones penales) y el interés de terceros en su apartado b) (medidas necesarias en una sociedad democrática para proteger a la persona concernida y los derechos y libertades de otras personas). 6. Mediante escrito registrado en este Tribunal el 25 de abril de 2000, la Presidenta del Senado comunicó a este Tribunal el Acuerdo de la Mesa de la Cámara de personarse en el proceso y ofrecer su colaboración a los efectos del art. 88.1 LOTC. 7. Por providencia de 28 de noviembre de 2000, se acordó señalar el día 30 del mismo mes y año para deliberación y votación de la presente Sentencia II. Fundamentos jurídicos 1.

El

Defensor

del

Pueblo

ha

interpuesto

el

presente

recurso

de

inconstitucionalidad contra ciertos incisos de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD, cuya Disposición final segunda les priva de la forma de Ley Orgánica) que, a su juicio, vulneran frontalmente la reserva de ley del art. 53.1 CE, el art. 18.1 y 4 CE, al no respetar el contenido esencial del derecho fundamental al honor y a la intimidad personal y familiar así como del derecho fundamental que este Tribunal ha denominado de "libertad informática" (SSTC 254/1993, de 20 de julio, 94/1998, de 4 de mayo, y

584

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

202/1999, de 8 de noviembre). Los preceptos impugnados disponen lo siguiente: Art 21.1: "Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados

a

otras

Administraciones

Públicas

para

el

ejercicio

de

competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos". Art. 24: "1. Lo dispuesto en los apartados 1 y 2 del art. 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas". "2. Lo dispuesto en el art. 15 y en el apartado 1 del art. 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas". Para precisar adecuadamente el objeto de la impugnación ha de tenerse presente, de un lado, que el Defensor del Pueblo ha circunscrito sus tachas de inconstitucionalidad únicamente a los incisos que figuran en cursiva en los preceptos que se acaban de transcribir. De otro, que los apartados 1 y 2 del art. 5 LOPD, a los que se remite el art. 24.1, establecen ciertos requisitos o garantías del derecho a la información en la recogida de datos, entre ellos la indicación de los destinatarios de la información, exigiéndolos tanto si se lleva a cabo de otra forma como mediante cuestionarios o impresos. Y el art. 15 así como el apartado

585

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

1 del art. 16, a los que se ha remitido el art. 24.2, hacen referencia, respectivamente, al derecho de acceso a los datos personales en cuanto a su contenido origen y uso, el modo de llevarlo a cabo y el tiempo de su ejercicio, así como al deber del responsable del tratamiento de hacer efectivo el derecho de rectificación o cancelación de los datos en el plazo de diez días. 2. En el presente caso, hemos de pronunciarnos sobre la conformidad con la Constitución de una Ley que, tanto en atención a su objeto y contenido como al hecho de haber derogado a la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, cabe entender sin dificultad que da cumplimiento al mandato del art. 18.4 CE. Si bien es justamente el defectuoso cumplimiento de tal mandato, a juicio del Defensor del Pueblo, lo que justifica las tachas de inconstitucionalidad que formula en relación con los indicados incisos de los arts. 21.1 y 24 antes mencionados. Para el Defensor del Pueblo, los derechos de los afectados a ser informados y a consentir así como los de acceso, rectificación y cancelación, integran el derecho fundamental de todos a controlar la recogida y el uso de aquellos datos personales que puedan poseer tanto el Estado y otros Entes públicos como los particulares. Lo que forma parte del contenido esencial (art. 53.1 CE) de los derechos fundamentales a la intimidad personal y familiar (art. 18.1 CE) y a la autodeterminación informativa (art. 18.4 CE). Por lo que cualquier restricción de aquellos derechos lo es de estos derechos fundamentales y menoscaba su contenido esencial. Restricción que a juicio del Defensor del Pueblo se ha producido en la Ley impugnada por dos órdenes de razones. En primer término, la posibilidad prevista en la LOPD de que una norma reglamentaria pueda autorizar la cesión de datos entre Administraciones Públicas para ser empleados en el ejercicio de competencias o para materias distintas a las que motivaron su originaria recogida sin necesidad de recabar previamente el consentimiento del interesado (art. 11.1 LOPD, en relación con lo dispuesto en los arts. 4.1 y 2 y 5.4 y 5), es decir, la cesión de datos inconsentida autorizada por una norma infralegal, soslaya que el art. 53.1 CE reserva en exclusiva a la Ley la regulación y limitación del ejercicio de un derecho fundamental, vulnerando por consiguiente el derecho fundamental mismo, al privarle de una de sus más firmes garantías.

586

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

En segundo lugar, las habilitaciones a la Administración Pública estatuidas en el art. 24.1 y 2 LOPD para que ésta pueda decidir discrecionalmente cuándo denegar al interesado la información sobre la existencia de un fichero o tratamiento de datos de carácter personal, sobre la finalidad de la recogida de éstos y de los destinatarios de la información, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, sobre las consecuencias de la obtención de los datos o de la negativa a suministrarlos, sobre la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, sobre la identidad y dirección del responsable del tratamiento o, en su caso, de su representante (art. 5.1 LOPD, cuyo apartado 2, al que también remite el art. 24.1 LOPD, dispone: "Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior"); o para que también pueda decidir sobre cuándo denegar los derechos de acceso, rectificación y cancelación de esos datos personales (art. 24.2, en relación con los arts. 15 y 16.1, LOPD), suponen en ambos casos, en opinión del Defensor del Pueblo, desnaturalizar el derecho fundamental a la intimidad frente al uso de la informática (art. 18.1 y 4 CE), pues le priva de sus indispensables medios de garantía consistentes en las facultades a disposición del interesado cuyo ejercicio le permitirían saber qué datos posee la Administración sobre su persona y para qué se emplean. Por el contrario, para el Abogado del Estado los incisos recurridos de los mencionados preceptos legales no son contrarios a la Constitución porque no sólo respetan la reserva legal del art.53.1 CE, sino que, además, imponen limitaciones razonables y proporcionadas al derecho fundamental a la intimidad y a la autodeterminación informativa (art. 18.1 y 4 CE). En su opinión, y al margen de que en sí mismo considerado el inciso recurrido del art. 21.1 LOPD no impone restricción alguna al derecho a consentir la cesión de datos, lo que sólo puede imputarse al apartado 4 de dicho precepto, que no ha sido impugnado en el presente recurso de inconstitucionalidad, semejante restricción a ese derecho a consentir está prevista en la Ley (art. 21.4 LOPD), respetando así lo dispuesto en el art. 53.1 CE, y no supone restricción alguna de los mencionados derechos fundamentales. Respecto de los incisos recurridos del art. 24.1 y 2 LOPD, reitera el Abogado del Estado que se tratan de límites fijados por la Ley e impuestos a derechos de configuración legal, que sólo mediatamente afectan a los derechos

587

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

fundamentales a la intimidad y a la autodeterminación informativa, en cuanto aquellos derechos legales son instrumentos para su ejercicio. Límites, dice el Abogado del Estado, que responden a fines proporcionados y razonables, sin que el haber recurrido para su identificación a conceptos jurídicos indeterminados (lo que de suyo no es contrario a la Constitución) suponga merma alguna de los derechos legales o fundamentales en cuestión, pues su empleo es fiscalizable jurisdiccionalmente. Lo que debemos precisar es, pues, si el legislador ha vulnerado la reserva de ley (art. 53.1 CE), bien por renunciar a su regulación o por apoderar a la Administración para que restrinja tales derechos a su discreción. Pues es indudable que los arts. 21.1 y 24.1 y 2 LOPD han regulado el ejercicio de derechos de los individuos que forman parte del haz de facultades que integra el contenido del específico derecho fundamental a la protección de datos personales derivado de los arts. 18.1 y 18.4 CE, al que a continuación se hará referencia con mayor detenimiento. 3. En apoyo de este alegato, el Defensor del Pueblo cita nuestra jurisprudencia sobre el derecho fundamental a la intimidad y a la libertad informática, y los acuerdos internacionales ratificados por el Estado español sobre la materia: el art. 8 del Convenio Europeo para la protección de los Derechos Humanos y las Libertades Fundamentales, hecho en Roma el 14 de noviembre de 1950 (en adelante, CEDH), los arts. 5, 6, 8 y 9 del Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981 y, por último, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (en adelante, la Directiva), y muy en especial su art. 13. El Abogado del Estado ha reprochado al Defensor del Pueblo el empleo del Convenio internacional de 1981 y de la Directiva antes mencionados no como canon interpretativo de los derechos y libertades fundamentales reconocidos en nuestra Constitución sino como verdadero canon de la constitucionalidad de la LOPD. Lo que ciertamente desbordaría el alcance del art. 10.2 CE, pues tanto los

588

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

tratados y acuerdos internacionales a los que se remite este precepto constitucional como el Derecho comunitario derivado no poseen rango constitucional y, por tanto, no constituyen canon de la constitucionalidad de las normas con rango de ley, como hemos declarado con tanta reiteración en nuestra jurisprudencia que excusa su cita. Aunque también hemos declarado reiteradamente que sus disposiciones, a tenor del citado art. 10.2 CE, sí constituyen valiosos criterios hermenéuticos del sentido y alcance de los derechos y libertades que la Constitución reconoce. Lo que es predicable no sólo de dicho Convenio internacional sino también de la citada Directiva 95/46/CE, a la que ya se han referido las SSTC 94/1998, FJ 4,y 202/1999. De suerte que uno y otra serán tenidos en cuenta más adelante para corroborar el sentido y alcance del específico derecho fundamental que, a partir del contenido del derecho a la intimidad (art. 18.1 CE) y del mandato del art. 18.4 CE, ha reconocido nuestra Constitución en orden a la protección de datos personales. 4. Sin necesidad de exponer con detalle las amplias posibilidades que la informática ofrece tanto para recoger como para comunicar datos personales ni los indudables riesgos que ello puede entrañar, dado que una persona puede ignorar no sólo cuáles son los datos que le conciernen que se hallan recogidos en un fichero sino también si han sido trasladados a otro y con qué finalidad, es suficiente indicar ambos extremos para comprender que el derecho fundamental a la intimidad (art. 18.1 CE) no aporte por sí sólo una protección suficiente frente a esta nueva realidad derivada del progreso tecnológico. Ahora bien, con la inclusión del vigente art. 18.4 CE el constituyente puso de relieve que era consciente de los riesgos que podría entrañar el uso de la informática y encomendó al legislador la garantía tanto de ciertos derechos fundamentales como del pleno ejercicio de los derechos de la persona. Esto es, incorporando un instituto de garantía "como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona", pero que es también, "en sí mismo, un derecho o libertad fundamental" (STC 254/1993, de 20 de julio, FJ 6). Preocupación y finalidad del constituyente que se evidencia, de un lado, si se tiene en cuenta que desde el anteproyecto del texto constitucional ya se incluía un apartado similar al vigente art. 18.4 CE y que éste

589

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

fue luego ampliado al aceptarse una enmienda para que se incluyera su inciso final. Y más claramente, de otro lado, porque si en el debate en el Senado se suscitaron algunas dudas sobre la necesidad de este apartado del precepto dado el reconocimiento de los derechos a la intimidad y al honor en el apartado inicial, sin embargo fueron disipadas al ponerse de relieve que estos derechos, en atención a su contenido, no ofrecían garantías suficientes frente a las amenazas que el uso de la informática podía entrañar para la protección de la vida privada. De manera que el constituyente quiso garantizar mediante el actual art. 18.4 CE no sólo un ámbito de protección específico sino también más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado 1 del precepto. 5. El art. 18.4 CE fue esgrimido por primera vez en el caso de un ciudadano a quien le denegó el Gobierno Civil de Guipúzcoa información sobre los datos que sobre su persona poseía, resuelto por la STC 254/1993, de 20 de julio. Y lo dicho en esta pionera Sentencia se fue aquilatando en las posteriores, como la relativa a las normas reguladoras del número de identificación fiscal (STC 143/1994, de 9 de mayo), o la que declaró contrario a la libertad sindical (art. 28 CE), en relación con el art. 18.4 CE, el uso por una empresa del dato de la afiliación sindical para detraer haberes de los trabajadores con ocasión de una huelga promovida por determinado sindicato, STC 11/1998, de 13 de enero (cuya doctrina ha sido reiterada en una larga serie de Sentencias de este Tribunal resolviendo idéntica cuestión, y de entre las que merece destacarse la STC 94/1998, de 4 de mayo), o, finalmente y hasta la fecha, la STC 202/1999, de 8 de noviembre, en la que, con ocasión de la denegación a un trabajador de la cancelación de sus datos médicos en un fichero informatizado de una entidad de crédito sobre bajas por incapacidad temporal, se apreció que el almacenamiento sin cobertura legal en soporte informático de los diagnósticos médicos del trabajador sin mediar su consentimiento expreso constituía una desproporcionada restricción del derecho fundamental a la protección de datos personales. Pues bien, en estas decisiones el Tribunal ya ha declarado que el art. 18.4 CE contiene, en los términos de la STC 254/1993, un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo "un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la

590

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama 'la informática'", lo que se ha dado en llamar "libertad informática" (FJ 6, reiterado luego en las SSTC 143/1994, FJ 7, 11/1998, FJ 4, 94/1998, FJ 6, 202/1999, FJ 2). La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data ) y comprende,

entre

otros

aspectos, la

oposición

del

ciudadano

a

que

determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, FJ 5, 94/1998, FJ 4). Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran. 6. La función del derecho fundamental a la intimidad del art. 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, FJ 5; 144/1999, FJ 8; 98/2000, de

591

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

10 de abril, FJ 5; 115/2000, de 10 de mayo, FJ 4), es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin. De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 CE, sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, FJ 4), como el derecho al honor, citado expresamente en el art. 18.4 CE, e igualmente, en expresión bien amplia del propio art. 18.4 CE, al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología,

la

intimidad

personal

y

familiar

a

cualquier

otro

bien

constitucionalmente amparado. De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección

592

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo. Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art. 18.1 CE. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido (SSTC 73/1982, de 2 de diciembre, FJ 5; 110/1984, de 26 de noviembre, FJ 3; 89/1987, de 3 de junio, FJ 3; 231/1988, de 2 de diciembre, FJ 3; 197/1991, de 17 de octubre, FJ 3, y en general las SSTC 134/1999, de 15 de julio, 144/1999, de 22 de julio, y 115/2000, de 10 de mayo), el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales (STC 254/1993, FJ 7). 7. De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y

593

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele. 8. Estas conclusiones sobre el significado y el contenido el derecho a la protección de datos personales se corroboran, atendiendo al mandato del art. 10.2 CE, por lo dispuesto en los instrumentos internacionales que se refieren a dicho derecho fundamental. Como es el caso de la Resolución 45/95 de la Asamblea General de las Naciones Unidas donde se recoge la versión revisada de los Principios Rectores aplicables a los Ficheros Computadorizados de Datos Personales. En el ámbito europeo, del Convenio para la Protección de las Personas respecto al Tratamiento Automatizado de Datos de Carácter Personal hecho en Estrasburgo el 28 de enero de 1981, del que hemos dicho en la STC 254/1993, FJ 4, que no se limita "a establecer los principios básicos para la protección de los datos tratados automáticamente, especialmente en sus arts. 5, 6, 7 y 11", sino que los completa "con unas garantías para las personas concernidas, que formula detalladamente su art. 8", al que han seguido diversas recomendaciones de la Asamblea del Consejo de Europa.

594

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

Por último, otro tanto ocurre en el ámbito comunitario, con la Directiva 95/46, sobre Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y la Libre Circulación de estos datos, así como con la Carta de Derechos Fundamentales de la Unión Europea del presente año, cuyo art. 8 reconoce este derecho, precisa su contenido y establece la necesidad de una autoridad que vele por su respeto. Pues todos estos textos internacionales coinciden en el establecimiento de un régimen jurídico para la protección de datos personales en el que se regula el ejercicio de este derecho fundamental en cuanto a la recogida de tales datos, la información de los interesados sobre su origen y destino, la facultad de rectificación y cancelación, así como el consentimiento respecto para su uso o cesión. Esto es, como antes se ha visto, un haz de garantías cuyo contenido hace posible el respeto de este derecho fundamental. 9. En cuanto a los límites de este derecho fundamental no estará de más recordar que la Constitución menciona en el art. 105 b) que la ley regulará el acceso a los archivos y registros administrativos "salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas" (en relación con el art. 8.1 y 18.1 y 4 CE), y en numerosas ocasiones este Tribunal ha dicho que la persecución y castigo del delito constituye, asimismo, un bien digno de protección constitucional, a través del cual se defienden otros como la paz social y la seguridad ciudadana. Bienes igualmente reconocidos en los arts. 10.1 y 104.1 CE (por citar las más recientes, SSTC 166/1999, de 27 de septiembre, FJ 2, y 127/2000, de 16 de mayo, FJ 3.a; ATC 155/1999, de 14 de junio). Y las SSTC 110/1984 y 143/1994 consideraron que la distribución equitativa del sostenimiento del gasto público y las actividades de control en materia tributaria (art. 31 CE) como bienes y finalidades constitucionales legítimas capaces de restringir los derechos del art. 18.1 y 4 CE. Convenio europeo de 1981 también ha tenido en cuenta estas exigencias en su art. 9. Al igual que el Tribunal Europeo de Derechos Humanos, quien refiriéndose a la garantía de la intimidad individual y familiar del art. 8 CEDH, aplicable también al tráfico de datos de carácter personal, reconociendo que pudiera tener límites como la seguridad del Estado (STEDH caso Leander, de 26 de marzo de 1987, §§ 47 y sigs.), o la persecución de infracciones penales (mutatis mutandis, SSTEDH, casos Z, de 25 de febrero de 1997, y Funke, de 25 de febrero de 1993), ha exigido

595

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

que tales limitaciones estén previstas legalmente y sean las indispensables en una sociedad democrática, lo que implica que la ley que establezca esos límites sea accesible al individuo concernido por ella, que resulten previsibles las consecuencias que para él pueda tener su aplicación, y que los límites respondan

a

una

necesidad

social

imperiosa

y

sean

adecuados

y

proporcionados para el logro de su propósito (Sentencias del Tribunal Europeo de Derechos Humanos, caso X e Y, de 26 de marzo de 1985; caso Leander , de 26 de marzo de 1987; caso Gaskin, de 7 de julio de 1989; mutatis mutandis, caso Funke, de 25 de febrero de 1993; caso Z, de 25 de febrero de 1997). 10. Tanto en la STC 254/1993 con carácter general como en la STC 143/1994, de 9 de mayo, FJ 7, este Tribunal ha declarado que un régimen normativo que autorizase la recogida de datos personales, incluso con fines legítimos, vulneraría el derecho a la intimidad si no incluyese garantías adecuadas frente al uso potencialmente invasor de la vida privada del ciudadano a través de su tratamiento informático, al igual que lo harían las intromisiones directas en el contenido nuclear de ésta. Por tanto, las facultades legalmente atribuidas a los sujetos concernidos y las consiguientes posibilidades de actuación de éstos son necesarias para el reconocimiento e identidad constitucionales del derecho fundamental a la protección de datos. Asimismo, esas facultades o posibilidades de actuación son absolutamente necesarias para que los intereses jurídicamente protegibles, que constituyen la razón de ser del aludido derecho fundamental, resulten real, concreta y efectivamente protegidos. De manera que, privada la persona de aquellas facultades de disposición y control sobre sus datos personales, lo estará también de su derecho fundamental a la protección de datos, puesto que, como concluyó en este punto la STC 11/1981, de 8 de abril (FJ 8), "se rebasa o se desconoce el contenido esencial cuando el derecho queda sometido a limitaciones que lo hacen impracticable, lo dificultan más allá de lo razonable o lo despojan de la necesaria protección". De este modo, la LOPD puede ser contraria a la Constitución por vulnerar el derecho fundamental a la protección de datos (art.18.4 CE), por haber regulado el ejercicio del haz de facultades que componen el contenido del derecho

596

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

fundamental a la protección de datos de carácter personal prescindiendo de las precisiones y garantías mínimas exigibles a una Ley sometida al insoslayable respeto al contenido esencial del derecho fundamental cuyo ejercicio regula (art. 53.1 CE). 11. Más concretamente, en las Sentencias mencionadas relativas a la protección de datos, este Tribunal ha declarado que el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987, de 11 de diciembre, FJ 6; y respecto del art. 18, la STC 110/1984, FJ 5). Esos límites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido, o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En el primer caso, regular esos límites es una forma de desarrolo del derecho fundamental. En el segundo, los límites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental. Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero,FJ 6; 18/1999, de 22 de febrero,FJ 2). Justamente, si la Ley es la única habilitada por la Constitución para fijar los límites a los derechos fundamentales y, en el caso presente, al derecho fundamental a la protección de datos, y esos límites no pueden ser distintos a los constitucionalmente previstos, que para el caso no son otros que los derivados de

597

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

la coexistencia de este derecho fundamental con otros derechos y bienes jurídicos de rango constitucional, el apoderamiento legal que permita a un Poder Público recoger, almacenar, tratar, usar y, en su caso, ceder datos personales, sólo está justificado si responde a la protección de otros derechos fundamentales o bienes constitucionalmente protegidos. Por tanto, si aquellas operaciones con los datos personales de una persona no se realizan con estricta observancia de las normas que lo regulan, se vulnera el derecho

a

la

protección

de

datos,

pues

se

le

imponen

límites

constitucionalmente ilegítimos, ya sea a su contenido o al ejercicio del haz de facultades que lo componen. Como lo conculcará también esa Ley limitativa si regula los límites de forma tal que hagan impracticable el derecho fundamental afectado o ineficaz la garantía que la Constitución le otorga. Y así será cuando la Ley, que debe regular los límites a los derechos fundamentales con escrupuloso respeto a su contenido esencial, se limita a apoderar a otro Poder Público para fijar en cada caso las restricciones que pueden imponerse a los derechos fundamentales, cuya singular determinación y aplicación estará al albur de las decisiones que adopte ese Poder Público, quien podrá decidir, en lo que ahora nos interesa, sobre la obtención, almacenamiento, tratamiento, uso y cesión de datos personales en los casos que estime convenientes y esgrimiendo, incluso, intereses o bienes que no son protegidos con rango constitucional. De ser ese el caso, la Ley habrá vulnerado el derecho fundamental en cuestión, ya que no sólo habrá frustrado la función de garantía propia de toda reserva de ley relativa a derechos fundamentales al renunciar a fijar por sí misma esos límites, dado que la reserva de Ley impone al legislador, además de promulgar esa Ley, regular efectivamente en ella la materia objeto de la reserva; sino también al permitir que el derecho fundamental ceda ante intereses o bienes jurídicos de rango infraconstitucional en contra de lo dispuesto en la propia Constitución, que no lo prevé así. Por esta razón, cuando la Constitución no contempla esta posibilidad de que un Poder Público distinto al Legislador fije y aplique los límites de un derecho fundamental o que esos límites sean distintos a los implícitamente derivados de su coexistencia con los restantes derechos y bienes constitucionalmente protegidos, es irrelevante que la Ley habilitante sujete a los Poderes Públicos en ese cometido

598

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

a procedimientos y criterios todo lo precisos que se quiera, incluso si la Ley habilitante enumera con detalle los bienes o intereses invocables por los Poderes Públicos en cuestión, o que sus decisiones sean revisables jurisdiccionalmente (que lo son en cualquier caso, con arreglo al art. 106 CE). Esa Ley habrá infringido el derecho fundamental porque no ha cumplido con el mandato contenido en la reserva de ley (arts. 53.1 y 81.1 CE), al haber renunciado a regular la materia que se le ha reservado, remitiendo ese cometido a otro Poder Público, frustrando así una de las garantías capitales de los derechos fundamentales en el Estado democrático y social de Derecho (art. 1.1 CE). La fijación de los límites de un derecho fundamental, así lo hemos venido a decir en otras ocasiones, no es un lugar idóneo para la colaboración entre la Ley y las normas infralegales, pues esta posibilidad de colaboración debe quedar reducida a los casos en los que, por exigencias prácticas, las regulaciones infralegales sean las idóneas para fijar aspectos de carácter secundario y auxiliares de la regulación legal del ejercicio de los derechos fundamentales, siempre con sujeción, claro está, a la ley pertinente (SSTC 83/1984, de 24 de julio, FJ 4, 137/1986, de 6 de noviembre, FJ 3, 254/1994, de 15 de septiembre, FJ 5). 12. La anterior doctrina es aplicable al presente caso, dado que las normas legales impugnadas, los arts. 21.1 y 24.1 y 2 LOPD, regulan el ejercicio de facultades que integran el contenido del derecho fundamental a la protección de datos personales. De suerte que en la medida en que este régimen legal haya establecido restricciones al ejercicio de este derecho o, según aquí ocurre, como se verá seguidamente, haya previsto supuestos en los cuales se deja a la Administración Pública competente la facultad de conceder o denegar discrecionalmente el ejercicio de estas facultades por las personas concernidas, en tales casos, evidentemente, se habría producido una vulneración de las garantías legales con las que nuestra Constitución ha querido asegurar el respeto por todos del derecho fundamental. Según entiende el Defensor del Pueblo, los preceptos impugnados en el presente recurso de inconstitucionalidad han incurrido en estas tachas, dado que los arts. 21.1 y 24.1 y 2 LOPD, en los incisos que se impugnan, no se han limitado a someter el ejercicio del haz de facultades que integra el contenido del derecho

599

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

fundamental a la protección de datos a condiciones restrictivas en su ejercicio frente a la Administración Pública competente, sino que, al permitir a ésta que, en ciertos supuestos, pueda denegar el ejercicio de dichas facultades, ha desconocido las garantías constitucionalmente exigidas para que el derecho fundamental a la protección de datos personales sea efectivo. Por lo que conviene examinar seguidamente si los arts. 21.1 y 24.1 y 2 han incurrido o no en las vulneraciones que se han denunciado por el Alto Comisionado de las Cortes Generales en defensa de este derecho fundamental. 13. En lo que respecta al art. 21.1 LOPD, el Defensor del Pueblo lo ha tachado de inconstitucional en el inciso impugnado ("o por disposición de superior rango"), dado que con tal tenor el precepto legal permite que una norma de rango infralegal o reglamentario pueda facultar la cesión de datos personales entre Administraciones Públicas para fines distintos de los que originaron su recogida y que lo haga sin recabar el "previo consentimiento del interesado" para tal cesión, como exige el art.11.1 LOPD. A lo que el Abogado del Estado ha objetado que el Defensor del Pueblo no ha impugnado expresamente ni en el cuerpo de su recurso ni en su suplico el apartado 4 del art. 21, limitando sus tachas al referido inciso del apartado 1, que en sí mismo no limita el derecho a consentir la cesión de datos personales por los afectados. De manera que, según el precepto impugnado y sin relación con el apartado 4, no cabe admitir que se produzca la lesión de derecho alguno del individuo si la cesión de datos personales entre Administraciones Públicas se establece por una norma de rango reglamentario. El Defensor del Pueblo, ciertamente, no ha mencionado el indicado precepto, en el que se ha previsto que en los supuestos de los apartados 1 y 2 del art. 21 LOPD "no será necesario el consentimiento del afectado a que se refiere el art. 11". Y si bien la tacha de inconstitucionalidad que a juicio del recurrente merece el art. 21.1 está basada en que el precepto permite que normas reglamentarias determinen "sin límites y concreciones previas establecidas en la ley habilitante los supuestos en los que proceda la cesión interadministrativa de datos personales sin conocimiento ni consentimiento previo de sus titulares" cabe observar que, al margen de esta referencia y de otra posterior al consentimiento del interesado, el centro de la impugnación es la vulneración de la reserva de Ley del art. 53.1 CE, por estimarse que sólo la Ley, y no una norma reglamentaria, puede precisar en

600

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

qué casos cabe limitar el derecho fundamental. De suerte que aun cuando el apartado 4 del art. 21 excepcione la exigencia contenida en el art. 11 LOPD y tal excepción opere, en lo que aquí importa, en relación con el supuesto regulado en el apartado 1, la exclusión del previo consentimiento del interesado en realidad sólo constituye en la impugnación un elemento sustantivo que pone de relieve las consecuencias que se derivan de la infracción de la reserva de Ley que el art. 53.1 CE ha establecido. Por lo que no cabe extender al apartado 4 la tacha de inconstitucionalidad formulada respecto a un inciso del apartado 1 del art. 21. Ahora bien, aun habiendo llegado a esta conclusión no es ocioso señalar, de un lado, que el derecho a consentir la recogida y el tratamiento de los datos personales (art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites. De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de éstos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho

601

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

fundamental al que estamos haciendo referencia. 14. Pese a la importancia que para garantizar el ejercicio del derecho fundamental poseen los derechos del interesado a ser informado y a consentir la cesión de sus datos personales, como antes se ha declarado, sin embargo, es suficiente según el art. 21.1 LOPD que la comunicación de tales datos entre Administraciones Públicas, para el ejercicio de competencias diferentes o que versen sobre materias distintas, sea autorizada por una norma reglamentaria. Al respecto, ya hemos dicho [STC 127/1994, FJ 5, con remisión a la STC 83/1984, FJ 4, y 99/1987, FJ 3 a)] que incluso en los ámbitos reservados por la Constitución a la regulación por Ley no es imposible una intervención auxiliar o complementaria del Reglamento, pero siempre que estas remisiones restrinjan efectivamente el ejercicio de esa potestad reglamentaria a un complemento de la regulación legal que sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley. De tal modo que esa remisión no conlleve una renuncia del legislador a su facultad para establecer los límites a los derechos fundamentales, transfiriendo esta facultad al titular de la potestad reglamentaria, sin fijar ni siquiera cuáles son los objetivos que la reglamentación ha de perseguir, pues, en tal caso, el legislador no haría sino "deferir a la normación del Gobierno el objeto mismo reservado" (STC 227/1993, de 9 de julio, FJ 4, recogiendo la expresión de la STC 77/1985, de 27 de junio, FJ 14). La remisión a la regulación reglamentaria de materia ligada a la reservada a la Ley es preciso, pues, que se formule en condiciones tales que no contraríe materialmente la finalidad de la reserva, de la cual se derivan, según la STC 83/1984, "ciertas exigencias en cuanto al alcance de las remisiones o habilitaciones legales a la potestad reglamentaria, que pueden resumirse en el criterio de que las mismas sean tales que restrinjan efectivamente el ejercicio de esa potestad a un complemento de la regulación legal que sea indispensable por motivos técnicos o para optimizar el cumplimiento de las finalidades propuestas por la Constitución o por la propia Ley". Es en este segundo plano en el que se encuentra el núcleo argumental del recurso interpuesto por el Defensor del Pueblo que es acogido en esta Sentencia, el cual considera que al establecer el art. 21.4 LOPD que esas cesiones no requieren del previo consentimiento del afectado permite al reglamento imponer un límite al derecho

602

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

fundamental a la protección de datos personales, que como se ha dicho ya, defrauda la previsión del art. 53.1 de la Constitución (STC 101/1991, de 13 de mayo, FJ 3). El motivo de la inconstitucionalidad del art. 21.1 LOPD resulta, pues, claro. La LOPD en este punto no ha fijado por sí misma, como le impone la Constitución (art. 53.1 CE), los límites al derecho a consentir la cesión de datos personales entre Administraciones Públicas para fines distintos a los que motivaron originariamente su recogida, y a los que alcanza únicamente el consentimiento inicialmente prestado por el afectado (art. 11 LOPD, en relación con lo dispuesto en los arts. 4, 6 y 34.e LOPD), sino que se ha limitado a identificar la norma que puede hacerlo en su lugar. Norma que bien puede ser reglamentaria, ya que con arreglo al precepto impugnado será una norma de superior rango, y con mayor razón para el caso de que la modificación lo sea por una norma de similar rango, a la que crea el fichero (y ésta basta con que sea una disposición general, que no una Ley, publicada en un Boletín o Diario oficial -art. 20.1 LOPD) la que pueda autorizar esa cesión inconsentida de datos personales, lo que resulta ser, desde luego, contrario a la Constitución. 15. Pasando al examen de los incisos impugnados del art. 24.1 y 2 LOPD, es procedente recordar previamente que la reserva de Ley prevista en el art. 53.1 CE respecto a la regulación de los límites de un derecho fundamental no sólo excluye apoderamientos a favor de las normas reglamentarias como el que antes hemos enjuiciado, sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites. De un lado, porque si bien este Tribunal ha declarado que la Constitución no impide al Estado proteger derechos o bienes jurídicos a costa del sacrificio de otros igualmente reconocidos y,por tanto, que el legislador pueda imponer limitaciones al contenido de los derechos fundamentales o a su ejercicio, también hemos precisado que, en tales supuestos, esas limitaciones han de estar justificadas en la protección de otros derechos o bienes constitucionales (SSTC 104/2000, de 13 de abril, FJ 8 y las allí citadas) y, además, han de ser proporcionadas al fin perseguido con ellas (SSTC 11/1981, FJ 5, y 196/1987, FJ 6). Pues en otro caso incurrirían en la arbitrariedad proscrita por el art. 9.3 CE.

603

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

De otro lado, aun teniendo un fundamento constitucional y resultando proporcionadas las limitaciones del derecho fundamental establecidas por una Ley (STC 178/1985), éstas pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad en los propios límites que imponen y su modo de aplicación. Conclusión que se corrobora en la jurisprudencia del Tribunal Europeo de Derechos Humanos que ha sido citada en el FJ 8 y que aquí ha de darse por reproducida. Y ha de señalarse, asimismo, que no sólo lesionaría el principio de seguridad jurídica (art. 9.3 CE), concebida como certeza sobre el ordenamiento aplicable y expectativa razonablemente fundada de la persona sobre cuál ha de ser la actuación del poder aplicando el Derecho (STC 104/2000, FJ 7, por todas), sino que al mismo tiempo dicha Ley estaría lesionando el contenido esencial del derecho fundamental así restringido, dado que la forma en que se han fijado sus límites lo hacen irreconocible e imposibilitan, en la práctica, su ejercicio (SSTC 11/1981, FJ 15; 142/1993, de 22 de abril, FJ 4, y 341/1993, de 18 de noviembre, FJ 7). De suerte que la falta de precisión de la Ley en los presupuestos materiales de la limitación de un derecho fundamental es susceptible de generar una indeterminación sobre los casos a los que se aplica tal restricción. Y al producirse este resultado, más allá de toda interpretación razonable, la Ley ya no cumple su función de garantía del propio derecho fundamental que restringe, pues deja que en su lugar opere simplemente la voluntad de quien ha de aplicarla, menoscabando así tanto la eficacia del derecho fundamental como la seguridad jurídica. 16. Más concretamente, en relación con el derecho fundamental a la intimidad hemos puesto de relieve no sólo la necesidad de que sus posibles limitaciones estén fundadas en una previsión legal que tenga justificación constitucional y que sean proporcionadas (SSTC 110/1984, FJ 3, y 254/1993, FJ 7) sino que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora. De no ser así, mal cabe entender que la resolución judicial o el acto administrativo que la aplique estén fundados en la Ley, ya que lo que ésta ha hecho, haciendo dejación de sus funciones, es apoderar a otros Poderes Públicos para que sean ellos quienes fijen los límites al derecho fundamental (SSTC 37/1989, de 15 de febrero, y 49/1999, de 5 de abril). De igual modo, respecto al derecho a la protección de datos personales cabe

604

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni es suficiente que la Ley apodere a ésta para que precise en cada caso sus límites, limitándose a indicar que deberá hacer tal precisión cuando concurra algún derecho o bien constitucionalmente protegido. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse y, además, es él quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias. Pues en otro caso el legislador habría trasladado a la Administración el desempeño de una función que sólo a él compete en materia de derechos fundamentales en virtud de la reserva de Ley del art. 53.1 CE, esto es, establecer claramente el límite y su regulación. 17. En el caso presente, el empleo por la LOPD en su art. 24.1 de la expresión "funciones de control y verificación", abre un espacio de incertidumbre tan amplio que provoca una doble y perversa consecuencia. De un lado, al habilitar la LOPD a la Administración para que restrinja derechos fundamentales invocando semejante expresión está renunciando a fijar ella misma los límites, apoderando a la Administración para hacerlo. Y de un modo tal que, como señala el Defensor del Pueblo, permite reconducir a las mismas prácticamente toda actividad administrativa, ya que toda actividad administrativa que implique entablar una relación jurídica con un administrado, que así será prácticamente en todos los casos en los que la Administración necesite de datos personales de alguien, conllevará de ordinario la potestad de la Administración de verificar y controlar que ese administrado ha actuado conforme al régimen jurídico administrativo de la relación jurídica entablada con la Administración. Lo que, a la vista del motivo de restricción del derecho a ser informado del art. 5 LOPD, deja en la más absoluta incertidumbre al ciudadano sobre en qué casos concurrirá esa circunstancia (si no en todos) y sume en la ineficacia cualquier mecanismo de tutela jurisdiccional que deba enjuiciar semejante supuesto de restricción de derechos fundamentales sin otro criterio complementario que venga en ayuda de su control de la actuación administrativa en esta materia. Iguales reproches merece, asimismo, el empleo en el art. 24.2 LOPD de la

605

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

expresión "interés público" como fundamento de la imposición de límites a los derechos fundamentales del art. 18.1 y 4 CE, pues encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último

término,

persigue

la

salvaguardia

de

intereses

generales,

cuya

consecución constituye la finalidad a la que debe servir con objetividad la Administración con arreglo al art. 103.1 CE. 18. Las mismas tachas merecen también los otros dos casos de restricciones que han sido impugnados por el Defensor del Pueblo, la relativa a la persecución de infracciones administrativas (art. 24.1 LOPD) y la garantía de intereses de terceros más dignos de protección (art. 24.2 LOPD). El interés público en sancionar infracciones administrativas no resulta, en efecto, suficiente, como se evidencia en que ni siquiera se prevé como límite para el simple acceso a los archivos y registros administrativos contemplados en el art. 105 b) CE. Por lo que la posibilidad de que, con arreglo al art. 24.1 LOPD, la Administración pueda sustraer al interesado información relativa al fichero y sus datos según dispone el art. 5.1 y 2 LOPD, invocando los perjuicios que semejante información pueda acarrear a la persecución de una infracción administrativa, supone una grave restricción de los derechos a la intimidad y a la protección de datos carente de todo fundamento constitucional. Y cabe observar que se trata, además, de una práctica que puede causar grave indefensión en el interesado, que puede verse impedido de articular adecuadamente su defensa frente a un posible expediente sancionador por la comisión de infracciones administrativas al negarle la propia Administración acceso a los datos que sobre su persona pueda poseer y que puedan ser empleados en su contra sin posibilidad de defensa alguna al no poder rebatirlos por resultarle ignotos al afectado. La propia LOPD establece en su art. 13 que los ciudadanos "tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad". Criterios difícilmente compatibles con la denegación del derecho a ser informado del art. 5 LOPD acordada por la Administración Pública con el único fundamento de la persecución de una infracción administrativa. Por último, el apartado 2 del art. 24 LOPD establece que los derechos de acceso

606

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

a los datos (art. 15.1 y 2 LOPD) y los de rectificación y cancelación de los mismos (art. 16.1 LOPD) podrán denegarse también si, "ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante ... intereses de terceros más dignos de protección". Resulta evidente que tras lo ya dicho, a la vista de que este inciso permite al responsable del fichero público negar a un interesado el acceso, rectificación y cancelación de sus datos personales, y al margen de que esos intereses puedan identificarse con los derechos fundamentales de ese tercero o con cualquier otro interés que pudiere esgrimirse, semejante negativa conlleva abandonar a la decisión administrativa la fijación de un límite al derecho fundamental a la protección de los datos de carácter personal sin ni siquiera establecer cuáles puedan ser esos intereses ni las circunstancias en las que quepa hacerlos valer para restringir de esa forma este derecho fundamental. Circunstancia que no puede paliarse admitiendo que la interpretación adecuada del precepto sea la propuesta por el Abogado del Estado en atención a la literalidad de ambos preceptos. Pues más bien cabe entender que la restricción fundada en el interés público o de un tercero más digno de tutela que el derecho a la protección de datos personales del interesado lo es al ejercicio mismo de esos derechos de acceso, rectificación y cancelación de los datos que forman parte del contenido esencial de esos derechos fundamentales. Sin perjuicio de que su denegación en ese caso pueda ser impugnada ante el Director de la Agencia de Protección de Datos. Denegación cuya consecuencia será la prórroga del plazo legal para proceder a la cancelación y rectificación de esos datos personales, de lo que se infiere que la restricción no es en rigor al plazo para rectificar y cancelar, sino a los derechos mismos a que se rectifiquen y cancelen los datos. Como en otra ocasión hemos aseverado, los motivos de limitación adolecen de tal grado de indeterminación que deja excesivo campo de maniobra a la discrecionalidad administrativa, incompatible con las exigencias de la reserva legal en cuanto constituye una cesión en blanco del poder normativo que defrauda la reserva de ley. Además, al no hacer referencia alguna a los presupuestos y condiciones de la restricción, resulta insuficiente para determinar si la decisión administrativa es o no el fruto previsible de la razonable aplicación de lo dispuesto por el legislador (SSTC 101/1991, FJ 3, y 49/1999, FJ 4). De suerte que la

607

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

misma falta evidente de certeza y previsibilidad del límite que el art. 24.2 LOPD impone al derecho fundamental a la protección de los datos personales (art. 18.4 CE), y la circunstancia de que, además, se trate de un límite cuya fijación y aplicación no viene precisada en la LOPD, sino que se abandona a la entera discreción de la Administración Pública responsable del fichero en cuestión, aboca a la estimación en este punto del recurso interpuesto por el Defensor del Pueblo al resultar vulnerados los arts. 18.4 y 53.1 CE. 19. La necesidad de delimitar el objeto de nuestro pronunciamiento y su alcance nos impone precisar finalmente el contenido de nuestro fallo estimatorio del presente recurso de inconstitucionalidad, por cuanto la literalidad de las tachas formuladas por el Defensor del Pueblo se ha limitado a determinados incisos de los preceptos impugnados. En primer lugar, si bien la tacha del Defensor del Pueblo se contrae al inciso "o por disposiciones de superior rango" del apartado 1 del art. 21, la declaración de inconstitucionalidad y nulidad se fundamenta, como se ha dicho en el FJ 15, en que la LOPD no ha fijado por sí misma, como le impone el art. 53.1 CE, los límites al derecho a consentir la cesión de datos personales entre Administraciones Públicas para fines distintos a los que motivaron su recogida, sino que sólo ha identificado la norma que puede hacerlo en su lugar. Por lo que en coherencia con este fundamento no cabe circunscribir dicha declaración sólo al referido inciso sino al más amplio que incluye tanto las disposiciones de creación del fichero

como

el

contenido

literal

del

impugnado,

extendiendo

la

inconstitucionalidad y nulidad a su totalidad, esto es "cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso", así como a la conjunción disyuntiva "o" para no privar de sentido al supuesto regulado en el inciso final del art. 24.1 LOPD y que no ha sido objeto de impugnación. Asimismo, la estimación del recurso en lo tocante a los incisos impugnados del art. 24.1 y 2 LOPD, ha de reflejarse en nuestro fallo declarando inconstitucionales y nulos los incisos del apartado 1 recurridos, y extendiendo la declaración en el caso del apartado 2 a toda su literalidad, pues si son contrarias a la Constitución por lesivas del art. 18.4 CE las dos restricciones previstas en su primera frase de este 2 apartado del art. 24 LOPD, su nulidad priva de sentido alguno lo dispuesto

608

PROCEDIMIENTOS SANCIONADORES – VARIOS Tribunal Constitucional

en la segunda, por lo que la más elemental lógica jurídica aconseja la expulsión del ordenamiento jurídico de todo el apartado (art. 39.1 LOTC). FALLO En atención a todo lo expuesto, el Tribunal Constitucional, POR LA AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA, Ha decidido Estimar el presente recurso de inconstitucionalidad y, en consecuencia: 1º Declarar contrario a la Constitución y nulo el inciso "cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso o" del apartado 1 del art. 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. 2º Declarar contrarios a la Constitución y nulos los incisos "impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas" y "o administrativas" del apartado 1 del art. 24, y todo su apartado 2, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Publíquese esta Sentencia en el "Boletín Oficial del Estado". Dada en Madrid, a treinta de noviembre de dos mil.

609