Carlos B Fernández. La Agencia Española de Protección de Datos ha venido observando como algunas Administraciones Públicas, principalmente las administraciones locales, no atienden, tal y como deberían, algunas de sus órdenes, lo que supone una infracción de la normativa de protección de datos.
Por este motivo, se ha querido destacar esta situación, incluyendo un nuevo apartado en la página web donde se muestran aquellas Administraciones Públicas que han sido sancionadas a lo largo de ese ejercicio por incumplimiento de una orden dada por la Agencia o por la falta de contestación a un requerimiento de petición de información en el marco de unas actuaciones previas de investigación.
En consecuencia, la Agencia Española de Protección de Datos (AEPD) ha publicado por primera vez la lista de las Administraciones Públicas sancionadas por incumplir los requerimientos y las medidas correctivas impuestas para garantizar el derecho fundamental a la protección de datos.
La lista está compuesta por Administraciones Públicas que no cumplen con los requerimientos de información remitidos por la Agencia, así como aquellas que no adecúan el tratamiento de datos a la legalidad y no acreditan las medidas correctivas impuestas. Tanto la falta de respuesta a los requerimientos como no acreditar que se han cumplido las medidas ordenadas para garantizar la protección de datos de los ciudadanos suponen infracciones clasificadas como muy graves.
Entre esas administraciones que no han cumplido las órdenes de la Agencia, destacan entidades locales de más de 20.000 habitantes a las que se les ha requerido que nombren un Delegado de Protección de Datos (DPD).
Al no cumplir con la orden remitida, la Agencia inicia un procedimiento sancionador contra estas administraciones por no atender el requerimiento de la Agencia.
Entre los organismos incluidos en esta relación se encuentran los ayuntamientos de Ayuntamiento de Algete; San Andrés Del Rabanedo; Aranda de Duero; Arrecife; Burgos; Cambre; Llanos de Aridane; Majadahonda; Moncada; Monesterio y Oria y entidades como la Dirección General de la Guardia Civil; la Empresa Municipal Transportes Urbanos de Gijón y los Establecimientos Residenciales para Ancianos de Asturias.
Principales motivos de incumplimiento
- Orden de adecuación de un tratamiento a la legalidad
En determinadas circunstancias, la Agencia puede dictar una orden para que en un tiempo determinado se adecúe un tratamiento de datos personales a la legalidad, o incluso para pedir que se bloquee, limite o suspenda, de acuerdo con los poderes correctivos regulados en el artículo 58.2. del RGPD (LA LEY 6637/2016). Esto puede ocurrir en un procedimiento sancionador, dado que entre las potestades sancionadoras de la Agencia está la de ordenar que las operaciones de tratamiento se ajusten al Reglamento General de Protección de Datos (LA LEY 6637/2016). Cuando el responsable no atiende esta orden en el tiempo establecido, la Agencia le notifica un recordatorio. Si después del mismo sigue sin actuar, entonces se inicia un procedimiento sancionador por la falta de acreditación de las medidas correctivas impuestas, al ser una infracción tipificada en el artículo 83.6 del RGPD (LA LEY 6637/2016), calificada como muy grave a efectos de prescripción en el artículo 72.1 de la LOPDGDD (LA LEY 19303/2018).
- Falta de aportación de información
Por otro lado, a lo largo de unas actuaciones de investigación hay ocasiones en las que es necesario que el investigado aporte datos para valorar la posible vulnerabilidad de la normativa. Para ello se hace un requerimiento que persigue obtener esa información. Cuando no se consigue una respuesta, se vuelve a hacer un segundo requerimiento, indicando la importancia de que envíen lo solicitado. Si después de ese segundo requerimiento el investigado sigue sin contestar, la Agencia inicia un procedimiento sancionador, al margen del resultado de las actuaciones de investigación que podrían dar lugar a otro expediente sancionador, por no atender ese requerimiento, al tratarse de una infracción administrativa tipificada en el artículo 83.5.e) del RGPD (LA LEY 6637/2016), calificada como muy grave a efectos de prescripción en el artículo 72.1 de la LOPDGDD (LA LEY 19303/2018).
- Incumplimiento de la obligación de nombrar Delegado de Protección de Datos
La obligación de nombrar un DPD, establecida en el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) para autoridades u organismos públicos, supone disponer de un asesoramiento y supervisión especializada en materia de protección de datos, entre otras funciones, además de ofrecer una vía de contacto a los ciudadanos para que puedan obtener una respuesta adecuada a sus cuestiones. Transcurridos casi cinco años desde la aplicación del RGPD, aún son varias las entidades locales que siguen sin nombrar DPD y comunicar a la AEPD su designación, además de no cumplir con los requerimientos enviados. El nombramiento de Delegado de Protección de Datos y su comunicación a la Agencia suponen una obligación para las autoridades u organismos públicos incluida en el artículo 37 del Reglamento. La falta de cumplimiento supone una infracción calificada como grave.
De acuerdo con el artículo 77 de la Ley orgánica de Protección de Datos y garantía de los derechos digitales (LA LEY 19303/2018), la sanción que les corresponde es de apercibimiento.