Fuerte sanción al Ayuntamiento de Cádiz por incumplir la Protección de Datos

El Ayuntamiento de Cádiz se enfrenta a una sanción que puede alcanzar una considerable cuantía económica por incumplir la Ley de Protección de Datos. Así lo acaba de decidir el Consejo de Transparencia y Protección de Datos de Andalucía, que ha resuelto contra el Ayuntamiento una denuncia presentada por un ciudadano.

Los hechos se remontan a octubre de 2021, cuando el Consistorio resolvió una línea de ayudas concedidas a autónomos y publicó la resolución en el tablón de anuncios de la página web institucional. Era en tiempos de pandemia, cuando se pusieron en marcha varias líneas de colaboración ante el cierre de negocios y suspensión de numerosas actividades profesionales. Esta en concreto se dirigía a los autónomos, que recibirían 350 euros cada uno, sumando casi un millar de beneficiarios.

De todos ellos, hubo uno que presentó denuncia al comprobar que sus datos personales (nombre, apellidos y número de DNI) quedaban expuestos en la web municipal "sin necesidad de registrarse" previamente ni realizar ningún otro trámite que de algún modo preservara los datos contenidos.

Desde el Ayuntamiento se justificó esa publicación en base a la ley de transparencia, acceso a la información pública y buen gobierno, indicando que lo que se había hecho en la web es publicar "íntegro el decreto de Alcaldía, al apreciar que el propio objeto de la convocatoria no proporciona información sensible, no se hacían constar datos especialmente protegidos de los beneficiarios relativos a las categorías especiales de datos, ni las personas físicas beneficiarias se encuentran en situación de protección especial que pudiera verse agravada con la cesión o publicación de sus datos personales".

También justifica el Ayuntamiento que al emitirse esta relación de personas beneficiarias no hubo "procedimiento de disociación al tratarse del Número de Identificación Fiscal (NIF) del profesional autónomo", entendiendo la administración "que la publicación se efectuó conforme a la legislación".

Pese a ello, la administración local procedió al conocer la denuncia a actuar de manera urgente para eliminar la publicación de la página web del Ayuntamiento. Y además, dirigió una instrucción "por parte del Delegado de Protección de Datos al objeto de evitar esta situación y que la misma se tratará próximamente como una acción formativa".

La respuesta del Consejo de Protección de Datos

No está conforme el organismo andaluz que vela por el cumplimiento de la ley de Protección de Datos con la explicación dada por el Ayuntamiento. Precisa en primer lugar que los datos relativos al nombre, apellidos y DNI de una persona "han de considerarse datos personales, ya que se trata de información sobre una persona física identificada o identificable a los que se realiza un tratamiento". "Por consiguiente, tanto los datos personales tratados como el tratamiento que se realice de los mismos han de someterse a lo establecido en la normativa sobre protección de datos personales", añaden.

En segundo lugar, considera este consejo que el Ayuntamiento refiere en su favor a la ley de transparencia, "pero ha obviado al realizar la publicación lo dispuesto en la normativa de protección de datos", que establece que para identificar al beneficiario habría que hacer uso de su nombre y apellidos "añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad".

"Al publicar el listado de los beneficiarios de las ayudas con su nombre, apellidos y DNI completo en la página web del Ayuntamiento de Cádiz, se vulneró el principio de minimización de datos en la medida que se han divulgado por parte del Ayuntamiento datos personales que no eran necesarios en relación con los fines para los que eran tratados; dar publicidad a la ayuda concedida", resuelve el Consejo de Transparencia y Protección de Datos de Andalucía.

Además, apunta el consejo a la ausencia "de medidas previas a los efectos de evitar la publicación en la pagina web del Ayuntamiento de más datos que los estrictamente necesarios"; habiéndose limitado el Ayuntamiento a realizar actuaciones "a posteriori".

Por tanto, son dos infracciones las que le imputan al Ayuntamiento. La primera por faltar al principio de minimización que debería haberse aplicado a los datos personales (es decir, por poner el DNI completo y no cuatro cifras), lo que está considerado como una falta muy grave; y la segunda por carecer de medidas "técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales", que está tipificado como una falta grave.

Queda por conocer ahora la sanción concreta a la que se expone el Ayuntamiento, teniendo en cuenta que las faltas muy graves pueden conllevar multas de hasta 20 millones de euros y no menos de 300.001 euros, y que las graves oscilarían entre los 40.001 y los 300.000 euros. La cifra final que se le impute al Ayuntamiento dependerá de una serie de condicionantes que guardan relación directa con el modo en que se han producido esas irregularidades denunciadas.

En paralelo, el Ayuntamiento tiene ahora la opción de interponer recurso de reposición ante el propio Consejo de Transparencia; o bien podría también acudir directamente al Juzgado de lo Contencioso, ya que la vía administrativa ha quedado agotada con este pronunciamiento del consejo que pone contra las cuerdas la actuación del Ayuntamiento en materia de Protección de Datos.