Todos sabemos que las notificaciones por una multa de tráfico llegarán al domicilio que el titular de un permiso de circulación o licencia de conducción de un vehículo haya comunicado. Si bien en el caso de no hallarse presente éste en el momento de entregarse dicha notificación, podrá hacerse cargo de la misma cualquier persona que se encuentre en el domicilio y haga constar su identidad.
¿Pero cómo deben hacerse estas notificaciones correctamente desde el punto de vista de la protección de datos? ¿Qué datos personales no pueden quedar expuestos al hacer este tipo de notificaciones?
Pues bien, La Agencia Española de Protección de Datos (en adelante AEPD), nos contesta a estas cuestiones en una reciente resolución de 2 de agosto, Expediente N.º: PS/00477/2022, donde apercibe a un Ayuntamiento por la exposición de los datos personales al notificar una multa de tráfico al sancionado.
En el presente caso, se practicó la notificación del requerimiento de identificación de conductor, a través de un funcionario de Correos, en el domicilio de la parte reclamante, siendo recogida tal notificación por el abuelo de la parte reclamante.
Concretamente, fue cuando se retiró tal acuse de recibo cuando quedó expuesto en el reverso de la notificación, todavía cerrada y plegada, la fecha y hora de la denuncia; clase de vehículo; matrícula, marca y modelo del vehículo; nombre, apellidos, domicilio y D.N.I. hechos denunciados y el importe de la sanción.
Si bien la parte reclamada considera en sus alegaciones que “el medio utilizado para realizar la notificación era el adecuado”, añadiendo que:
“El funcionario de Correos que traslada la notificación, solamente en este momento, una vez que se despega el papel rosa y lo entrega para la firma, podría acceder a los datos personales del interesado; no obstante, estas personas están vinculadas por el compromiso de confidencialidad, por lo que no pueden difundir la información a la que podrían acceder por la entrega de envíos a través del operador público.
El resto de las personas que podrían tener acceso a esta información son las que residen en el domicilio del interesado, previa acreditación de este extremo, por lo que puede presuponerse que estas personas no van a realizar un mal uso de la misma.”
La AEPD por su parte, trae a colación el artículo 13.h) de la LPACAP: “Derechos de las personas en sus relaciones con las Administraciones Públicas”, el cual establece lo siguiente:
Quienes de conformidad con el artículo 3, tienen capacidad de obrar ante las Administraciones Públicas, son titulares con ellas, de los siguientes derechos:
h) A la protección de datos de carácter personal, y en particular a la seguridad y a la confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.”
Y nos recuerda, que no podemos olvidar que las personas tienen el poder de disposición sobre sus datos personales, así como sobre su difusión, resultando, sin lugar a duda, merecedora de protección la persona cuyos datos personales se difundan vulnerando el ordenamiento jurídico.
Es por tanto indiferente, el compromiso de confidencialidad al que está sujeto el personal de Correos, así como el uso que dé a esos datos la tercera persona que, estando en el domicilio del destinatario, ha recogido la notificación, porque lo cierto es que, con la exposición de tales datos al retirarse el aviso de recibo de color rosa relativo a la notificación, la parte reclamante ha perdido su poder de disposición y de control para decidir si esos datos los proporciona a un tercero o no.
Si bien, es cierto que no es obligatoria la recepción de la notificación por la persona a la que no va destinada, ni siquiera por el propio destinatario (artículo 41 de la Ley 39/2015 de 1 de octubre), esto no puede significar, como ya se ha indicado, que puedan quedar expuestos datos personales del destinatario una vez retirado el correspondiente acuse de recibo justificativo de la realización de la notificación.
Recalca la AEPD, que de nada sirve como se haga hoy en día la notificación del “requerimiento de identificación de conductor” así como que sea la primera vez que se denuncie a la parte reclamada por esta cuestión.
Por tanto, de conformidad con las evidencias de las que se dispone, la AEPD considera que los hechos expuestos vulneran los siguientes preceptos:
1.-Por un lado, lo dispuesto en el artículo 5.1.f) que establece que:
“1. Los datos personales serán:
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Pues bien, en el presente caso, la notificación de requerimiento de identificación de conductor dirigido a la parte reclamante, fue recogida de conformidad con el artículo 42.2 de la LPACAP, por el abuelo, persona para la que fue accesible, una vez que se retiró el acuse de recibo justificativo de la práctica de tal notificación, y con el documento todavía cerrado una serie de datos personales del reclamante a lo que ya hemos hecho referencia anteriormente. Por tanto, dichos datos quedaron expuestos, no solo para el agente notificador que retira el acuse de recibo, sino para cualquier otra persona por la que pueda pasar físicamente la carta, como ha sucedido en el presente caso.
2.-Por otra parte, de la documentación obrante en el expediente se ofrecen indicios evidentes de que la parte reclamada ha vulnerado el artículo 32 del RGPD relativo a la “seguridad del tratamiento”:
La responsabilidad de la parte reclamada viene determinada por la quiebra de seguridad puesta de manifiesto en la reclamación, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, para asegurar que los datos no queden a la vista de cualquier persona que reciba el envío. Al no existir un elemento físico que impida o ponga de manifiesto el acceso indebido al contenido de la comunicación postal, los datos personales quedan desprotegidos y expuestos a cualquier tercero.
Por tanto, se ha vulnerado el artículo 32 del RGPD, por parte del Ayuntamiento como responsable del tratamiento, al no haber adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, al posibilitar la exhibición de datos de carácter personal del destinatario de la notificación, de un procedimiento sancionador en materia de Tráfico, lo que determina la falta de diligencia mínima por el responsable, independientemente de la brecha de datos personales producida.
La parte reclamada, como responsable del tratamiento, ha de poner los medios y medidas para que todo su personal conozca y cumpla las responsabilidades en el manejo de datos personales, teniendo acceso al contenido del documento solo el personal asignado, tanto en el tiempo de su despacho como tras el mismo.
Si quieres conocer más sobre administraciones públicas y protección de datos puedes consultar otras publicaciones de nuestro blog pinchando aquí y aquí
