No sólo las grandes o medianas y pequeñas empresas además de los particulares pueden cometer algún tipo de infracción en materia de protección de datos. Las administraciones públicas y, en este caso, la policía local que, desarrollando sus funciones dentro del ámbito municipal, también pueden resultar infractoras y ser apercibidos por nuestra autoridad de control como consecuencia de algún tipo de incumplimiento de la normativa en materia de protección de datos.
En esta ocasión, el Ayuntamiento de Santa Pola, debido a una serie de infracciones cometidas por la Policía Local del mismo municipio, ha sido la Administración apercibida. Así se acredita en la resolución de procedimiento sancionador con nº de procedimiento PS/00215/2021 publicada por la Agencia Española de Protección de Datos hace unos días.
Todo comienza con la imposición de una multa a un ciudadano (en adelante, “el reclamante”) por la policía local de Santa Pola. Sin embargo, el tratamiento de sus datos por parte de los agentes se realiza de un modo inadecuado por lo que el reclamante decide denunciarlo ante la AEPD. Tal y como se indica en la resolución, son dos los motivos principales en los que el reclamante basa su reclamación:
1º.- Que ha ejercitado el derecho de supresión de sus datos, sin que se le haya contestado por parte de la Administracion competente.
2º.- Que se recogieron sus datos con motivo de la imposición de dicha sanción administrativa, haciendo fotografía de su DNI a través de un teléfono móvil por parte de un Agente de Policía Local.
Para sostener dichas alegaciones el reclamante aporta copia del escrito de derecho de supresión donde solicita al Ayuntamiento de Santa Pola que le informe sobre los datos personales obtenidos mediante su identificación por los agentes el día de los hechos, la finalidad del tratamiento de esos datos y, por último, la supresión de los mismos.
Asimismo, la reclamante entrega el acta de denuncia administrativa que le interponen los agentes donde, además, en su literal informativo de Protección de Datos, consta como normativa la ya derogada Ley 15/1999, no encontrándose de este modo adecuado al Reglamento Europeo de Protección de Datos.
Igualmente, el reclamante adjunta un escrito donde se muestra que el reclamado le informa de que en dicha Administración “no disponen de Delegado de Protección de Datos”. Debemos indicar que esta es la única ocasión en la que el Ayuntamiento procede a dar respuesta al reclamante.
No solo la Administracion no contesta al reclamante, sino que tampoco atiende a la Subdirección General de Inspección de Datos, organismo que, una vez admitida a trámite la reclamación, procedió a la realización de actuaciones previas de investigación de los hechos que figuraban en la misma solicitando así explicación al Ayuntamiento de ciertos extremos. Ni si quiera cuando se incoa el correspondiente procedimiento sancionador del que trae causa la presente resolución.
Una vez conocidos los puntos con mayor relevancia de la reclamación, ¿Qué infracciones ha cometido la Policía Local además de realizar una fotografía al DNI del reclamante de forma improcedente? ¿Cómo resuelve la AEPD al respecto?
En primer lugar, respecto a la toma de la fotografía del DNI por parte de un agente para la imposición de una sanción, debemos tener en cuenta el artículo 9.2 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, por el que se exige la exhibición del DNI cuando fueren requeridas para ello por la autoridad o sus agentes para el cumplimiento de los fines previstos en el art. 16.1, es decir:
“…las Fuerzas y Cuerpos de Seguridad podrán requerir la identificación de las personas en los siguientes supuestos:
a) Cuando existan indicios de que han podido participar en la comisión de una infracción.
b) Cuando, en atención a las circunstancias concurrentes, se considere razonablemente necesario que acrediten su identidad para prevenir la comisión de un delito.”
De conformidad con lo expuesto, el tratamiento de nuestros datos personales por los agentes es lícito si nos solicitan la exhibición del DNI a esos efectos. Sin embargo, la Ley Orgánica de 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales, en adelante LOPDGDD, en su artículo 32, impone al responsable de tratamiento la aplicación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a la hora de tratar datos personales. Tal y como manifiesta la AEPD en la presente resolución, este artículo es infringido por el Ayuntamiento al no contemplar expresamente instrucciones sobre el uso de dispositivos móviles o de cualquier otro tipo que permita grabar o recoger datos de ciudadanos por parte de los agentes o dar explicaciones sobre el cumplimiento de estas medidas, ya que los policías emplearon sus dispositivos móviles personales para la realización de dichas fotografías, quedando así fuera del alcance y control del responsable el tratamiento lo que pudiera realizarse sobre dichas imágenes.
En segundo lugar, el no atender a la solicitud del derecho de supresión, el cual viene regulado en el artículo 17 del Reglamento Europeo de Protección de Datos, en adelante RGPD, y cuyo ejercicio le es legítimo al reclamante, da lugar a otra infracción considerada muy grave en el artículo 83 del Reglamento.
Asimismo, la AEPD exige al Ayuntamiento dar respuesta a dicha petición formulada por el reclamante.
Continuando con la enumeración de las vulneraciones a la normativa de protección de datos cometidas por el Ayuntamiento de Santa Pola, la tercera de las infracciones en las que incurre es la no designación de un Delegado de Protección de Datos y la misma aparece regulada en el artículo 37 del RGPD: “1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;”. Del mismo modo, en el artículo 34 de la LOPDGDD también se hace referencia a esta obligación.
Recordemos que el reclamante aporta un escrito donde la Administración manifiesta que carecen de esa figura, por lo que en la resolución se apercibe al Ayuntamiento para que informe sobre la designación del DPD. Puedes conocer más sobre esta figura pinchando aquí y aquí.
Otra de las infracciones que se exponen en la resolución, es la inadecuación a la normativa de la cláusula con la información básica en materia de protección de datos insertada dentro del acta de denuncia administrativa que se impone al reclamante por parte de la policía local de Santa Pola. En esta cláusula, además de hacerse referencia a la ya derogada Ley 15/1999, no contiene toda la información que se exige en el artículo 13 del RGPD cuando se obtengan datos del interesado.
Por último, y a pesar de que el Ayuntamiento es advertido expresamente en las actuaciones previas de su obligación de facilitar cualquier información que requiera la autoridad de control para el desempeño de sus funciones, tal y como se dispone en el artículo 58.2 del RGPD, la mencionada administración no ha dado respuesta a ninguna de las notificaciones que la Agencia le ha hecho llegar con respecto al procedimiento y, por tanto, no ha esclarecido punto alguno.
El incumplimiento de esa obligación puede comportar la comisión de una infracción tipificada en el artículo 83.5.e) del RGPD. No obstante, y aunque no debemos olvidar que el responsable de tratamiento es una administración y estos organismos no pueden ser sancionados de forma pecuniaria de conformidad con el artículo 77.1.c) y 2 de la LOPDGDD, sí que se establece una eventual deriva de responsabilidad que el reclamado debería tener en cuenta a efectos del cumplimiento de las medidas que la AEPD le impone en la resolución, citándose en el párrafo 3 del mismo artículo 77.
Tras el análisis de la presente resolución, debemos tener en cuenta que la policía local, durante el ejercicio de sus funciones, se encuentra amparada para requerir la identificación de las personas en los supuestos que anteriormente hemos especificado. Sin embargo, no se pueden utilizar los dispositivos personales para ese uso y finalidad. Cuestión distinta hubiese sido que el consistorio entregara a los agentes dispositivos móviles de su propiedad ya que, como responsable del tratamiento de los datos, está obligado a contar con las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado a la hora de tratar datos personales de los ciudadanos. Podemos revisar las medidas de seguridad que debe cumplir la Administracion Local en el siguiente enlace.
De ahí la importancia de que toda administración debe contemplar expresamente instrucciones sobre el uso de dispositivos móviles o de cualquier otro tipo que permita grabar o recoger datos de ciudadanos por parte de los agentes de la policía local.
