Son muchas las ocasiones en las que tenemos acceso a datos personales de terceros, pero, realmente, ¿contamos con una base de legitimación para tratarlos?
Pues bien, la Agencia Española de Protección de Datos (en adelante, AEPD), ha emitido una resolución sancionadora para la Consejería de Educación, Universidades, Ciencia y Portavocía de la Comunidad Autónoma de Madrid por acceder, sin el consentimiento del interesado, a su declaración de renta.
En concreto, los hechos se reducen a los siguientes: el reclamante, padre de la menor, manifestó que la reclamada, la Consejería de Educación, Universidades, Ciencia y Portavocía, consultó, sin su consentimiento, los datos de su declaración de renta durante los últimos cinco años con la finalidad de poder reducir el precio del menú escolar del centro docente al que acudía su hija y cuya custodia ostentaba únicamente la madre, de quien se divorció en el año 2013.
El reclamante aporta, del resultado de su solicitud a la Consejería, junto con la reclamación, los siguientes documentos:
- Detalle de las consultas presuntamente realizadas sin su autorización y copia de la imagen de la presunta sede electrónica de la Consejería en que se aprecia el listado de accesos presuntamente ilegítimos.
- Copia de la respuesta de la reclamada en la que se expresa que los accesos se produjeron para determinar el cumplimiento de los requisitos establecidos en las convocatorias anuales de precio reducido de comedor escolar. Se incluye adjunta una copia de la solicitud de la reducción del curso 2019/ 2020 en la que la madre de la menor solicitaba la concesión de la citada reducción, no oponiéndose a las consultas correspondientes sobre su situación personal de renta.
Por su parte, la reclamada, entre otras cosas, expresa que el expediente de la unidad familiar aparecía en su base de datos con los datos de la madre y del padre de la menor, para quien se solicitó la reducción. En concreto, alega no haber recibido del centro docente información sobre el cambio necesario de la composición de la unidad familiar, a pesar de reconocer que, en la solicitud, la madre de la menor señaló ser una familia monoparental. Sin embargo, la Consejería pone de manifiesto que en la solicitud de reducción de precios del comedor no constaba documentación acreditativa de ser familia monoparental. En consecuencia, la reclamada, al no haber recibido la correspondiente información desde el centro docente, consultó los datos de renta del reclamante para la concesión a su hija de la mencionada reducción como requisito establecido en la convocatoria. Además, describe haber requerido al centro docente implicado que solicitase a la familia de la menor la documentación acreditativa de ser una familia monoparental para proceder a actualizar su expediente en la base de datos correspondiente. De hecho, señala que, para el curso 2020/2021, no se consultaron datos de la renta del reclamante porque la madre de la menor presentó los suyos y se mantuvo señalada como familia monoparental.
Tras la admisión a trámite de la reclamación por parte de la AEPD y la consideración de iniciar procedimiento sancionador, el reclamado presentó escrito de alegaciones al acuerdo de inicio en el que manifestaba lo siguiente:
- Que la Subdirección General de Becas y Ayudas (en adelante, SGBA) ya dio respuesta al requerimiento de la AEPD acerca de las acciones llevadas a cabo para adecuarse a lo requisitos en materia de protección de datos e hizo constar el procedimiento para la aplicación de un precio reducido basándose en la composición de la unidad familiar que constaba en su base de datos.
- Que, a consecuencia de la queja, la SGBA requirió al centro la documentación de las solicitudes presentadas y solo pudieron aportar las del curso de 2019-2020, ya que las anteriores fueron destruidas por el centro.
- Que, dado que junto con la solicitud no fue acreditada la situación de monoparentalidad, ni el centro comunicó a la SGBA el cambio de situación de la unidad familiar, se consultaron los datos de la renta de ambos progenitores.
- Que, en la solicitud del curso 2020-2021 seguía sin figurar el padre y tampoco se aportó la documentación acreditativa de la monoparentalidad, sin que en este caso se consultaran los datos al presentar la madre la documentación requerida de sus ingresos.
- Que, en el momento que hizo la reclamación, con carácter inmediato, se tomaron las medidas oportunas, actualizando la composición familiar sin que se haya vuelto a realizar ninguna consulta de datos del reclamante.
- Que la finalidad de todas estas consultas tenía por objeto posibilitar un previo reducido del comedor de la menor y que, en la respuesta emitida por la SGBA, ya se dio a conocer la adopción de medidas para evitar que se vuelva a producir un caso como este.
En resumen, los hechos denunciados consisten, según el reclamante, en el tratamiento de sus datos personales por parte de la Consejería sin su consentimiento, lo que comporta una posible vulneración de la normativa de protección de datos personales.
Ante estas alegaciones de las partes y de la documentación obrante en el expediente, efectivamente, la AEPD evidencia que la Consejería infringió el artículo 6.1.a) del Reglamento General de Protección de Datos (en adelante, RGPD), puesto que la citada entidad trató los datos de carácter personal del reclamante sin acreditar su consentimiento para el acceso a la consulta de sus datos económicos de la declaración de renta a efectos de la posibilidad de reducir el precio del menú escolar de su hija menor.
Por el contrario, el reclamado alegó que las consultas de datos a la Agencia Tributaria tenían por objeto la posibilidad de aplicar un precio reducido de comedor a la hija del reclamante y que la base legitimadora del tratamiento de los datos, tal y como figuraba en el Registro de Actividades del Tratamiento, no se hallaría en el artículo 6.1.a) sino en el artículo 6.1.e) del RGPD que establece que el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Sin embargo, tal alegato, mantiene la AEPD, no puede ser admitido porque existe una norma específica que considera necesario el consentimiento del reclamante en su condición de obligado tributario para acceder a los datos que tienen dicha particularidad o condición. A este respecto, el artículo 96 de la Ley General Tributaria señala que “los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto (…) k) la colaboración con las Administraciones públicas para el desarrollo de sus funciones, previa autorización de los obligados tributarios a que se refieran los datos suministrados”.
En este sentido, la AEPD recuerda que el respeto al principio de licitud de los datos, mencionado en el artículo 5.1.a) y consagrado en el artículo 6 del RGPD, exige que conste acreditado que el titular de los datos consintió el tratamiento de los datos de carácter personal, además de desplegar una razonable diligencia imprescindible para acreditar ese extremo. De no actuar así, el resultado sería vaciar de contenido dicho principio.
Hay que señalar que la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales, en su artículo 77, contempla la sanción de apercibimiento en relación a los tratamiento de datos personales que no se adecúen a sus previsiones. Asimismo, se establece que la resolución que se dicte podrá establecer medidas que proceda adoptar para que cese la conducta, se corrijan los efectos de la infracción que se hubiera cometido, su adecuación a las exigencias inherentes del artículo 6.1.a) del RGPD, así como la aportación de medios acreditativos del cumplimiento de lo ordenado.
La Consejería, a raíz de esta incidencia, adoptó las siguientes medidas:
- Solicitar al centro escolar en cuestión y a 1.600 centros más que revisaren el procedimiento de grabación de datos para que se eviten errores y queden perfectamente identificados los miembros que firman las solicitudes, las familias que son monoparentales y las otras situaciones familiares con el objetivo de que la base de datos esté correctamente actualizada.
- La revisión, desde la SGBA, de casi 10.000 solicitudes cada curso de las más de 100.000 presentadas cada curso escolar, para garantizar que no se produjeran errores.
- La mejora del impreso de solicitud con el fin de aclarar que para que se considere familia monoparental, u otro tipo de situación, y concretamente en el caso de divorcio, hay que aportar documentación acreditativa de dicha situación.
- Que la Delegada de Protección de Datos va a realizar una pequeña formación a los funcionarios del área para recordar las bases de legitimación del tratamiento de datos y los principios básicos de protección de datos.
A la luz de las medidas adoptadas por la Consejería, se considera por parte de la AEPD que la respuesta de la Consejería ha sido razonable y que ha subsanado la incidencia, no procediendo instar la adopción de medidas adicionales al haber adoptado medidas de carácter técnico y organizativas de conformidad con la normativa en materia de protección de datos para evitar que vuelvan a producirse acciones como la presente.
Por tanto, la resolución termina con una sanción de apercibimiento a la Consejería por infracción del artículo 6.1.a) del RGPD, es decir, por no contar con el consentimiento del afectado.
En conclusión, una vez más, se sanciona a una Administración Pública en materia de protección de datos personales, concretamente, por tratar datos personales sin contar con la habilitación legal debida entraña una vulneración a la normativa de protección de datos personales. De esta infracción se desprende el grado de desconocimiento existente por parte del personal de las Administraciones Públicas de los principios básicos en materia de protección de datos.
Si quieres conocer más casos en los que se ha sancionado por falta de consentimiento pincha aquí, aquí y aquí.
