Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos E-01568-2018 de 16 de julio de 2018
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 25 min
Órgano: Agencia Española de Protección de Datos
Fecha: 16/07/2018
Num. Resolución: E-01568-2018
Cuestión
Sector:1 / 11
Expediente Nº: E/01568/2018
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante Don B.B.B. , en virtud de denuncia presentada por el Ayuntamiento de
Badalona, y teniendo como...
Contestacion
1/11
Expediente Nº: E/01568/2018
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de
Datos ante Don B.B.B., en virtud de denuncia presentada por el Ayuntamiento de
Badalona, y teniendo como base los siguientes
HECHOS
PRIMERO: Con fecha 13 de marzo de 2018, tuvo entrada en esta Agencia un escrito
remitido por la Autoridad Catalana de Protección de Datos, dando traslado de una
denuncia de la Guardia Urbana de Badalona, en la que comunican que, con fecha 11
de febrero de 2018, agentes de la Guardia Urbana observan unos contenedores de
basuras domiciliaria la existencia de múltiple documentación con datos personales,
como fichas de pacientes de una clínica odontológica, con filiación completa,
medicamentos, jeringuillas, etc. esparcidos por la acera de la calle.
La Guardia Urbana contacta con el responsable de la documentación, Don B.B.B.,
quien manifiesta que la documentación es suya y que había contratado por Internet la
recogida y destrucción de la misma.
Anexa la siguiente documentación:
? Acta de la Guardia Urbana.
? Copia del contrato con Don C.C.C., para la destrucción de la documentación.
? Fotografías de la documentación encontrada.
SEGUNDO: Tras la recepción de la denuncia la Subdirección General de Inspección
de Datos procedió a la realización de actuaciones previas de investigación para el
esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes
extremos:
1. Del estudio del contrato aportado con la denuncia, se desprende que en dicho
contrato no figura ninguna norma para la destrucción de la documentación. No
obstante, si consta que deberá remitir una factura acreditativa de la destrucción.
2. Con fecha 24 de abril de 2018, se recibe escrito de Don B.B.B., en el que pone de
manifiesto lo siguiente:
2.1.Durante más de treinta años ha regentado la titularidad de una consulta de
estomatología en la calle D.D.D., de la localidad de E.E.E. (Barcelona).
2.2.Por cuestiones personales procedió a dar de baja su actividad privada en el
citado lugar, procediendo al vaciamiento del local, para lo cual contrató los
servicios de una empresa especializada que localizó en Internet, a través de la
página http;//vaciadossantos.com; en la misma puntualizan que trasladan el
escombro desde el domicilio al vertedero autorizado.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/11
2.3.Puesto en contacto con el dueño de la empresa, Don C.C.C., éste manifestó
que estaban capacitados para la destrucción de información con datos
personales, por lo que el Sr. B.B.B. dio su consentimiento verbal. El Sr.
C.C.C. le indico que al finalizar el día del vaciamiento le presentaría los
recibos de la empresa destructora del material.
2.4.Cuando fue informado por la Guardia Urbana del hallazgo de la
documentación, procedió a la presentación de una denuncia ante la Comisaría
de los Mossos d?Esquadra de Vic para presentar una denuncia por la posible
estafa.
2.5.Ese mismo día se reunió con el Sr. C.C.C. comunicándole los hechos, así
como de la interposición de una denuncia contra él, firmando el documento.
Se adjunta un documento de reconocimiento.
2.6.Finalmente, manifiesta que la Agencia de Residuos de Cataluña ha procedido
a incoar expediente sancionador contra el Sr. C.C.C..
FUNDAMENTOS DE DERECHO
I
Es competente para resolver la Directora de la Agencia Española de Protección
de Datos, conforme a lo establecido en el artículo 37.d) en relación con el artículo 36,
ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (en lo sucesivo LOPD).
II
El artículo 126.1, apartado segundo, del Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,
aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD) establece:
?Si de las actuaciones no se derivasen hechos susceptibles de motivar la
imputación de infracción alguna, el Director de la Agencia Española de Protección de
Datos dictará resolución de archivo que se notificará al investigado y al denunciante,
en su caso.?
III
El artículo 9 de la LOPD establece lo siguiente:
?1. El responsable del fichero, y, en su caso, el encargado del tratamiento,
deberán adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/11
condiciones que se determinen por vía reglamentaria con respecto a su integridad y
seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y
programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban
reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que
se refiere el artículo 7 de esta Ley?.
El citado artículo 9 de la LOPD establece el ?principio de seguridad de los
datos? imponiendo la obligación de adoptar las medidas de índole técnica y
organizativa que garanticen aquella, añadiendo que tales medidas tienen como
finalidad evitar, entre otros aspectos, el ?acceso no autorizado? por parte de terceros y
?perdida?.
Para poder delimitar cuáles son los accesos que la LOPD pretende evitar
exigiendo las pertinentes medidas de seguridad, es preciso acudir a las definiciones de
?fichero? y ?tratamiento? contenidas en la LOPD. En lo que respecta a los ficheros el
artículo 3.a) los define como ?todo conjunto organizado de datos de carácter personal?
con independencia de la modalidad de acceso al mismo. Por su parte, la letra c) del
mismo artículo 3 permite considerar tratamiento de datos cualquier operación o
procedimiento técnico que permita, en lo que se refiere al objeto del presente
expediente, la ?conservación? o ?consulta? de los datos personales tanto si las
operaciones o procedimientos de acceso a los datos son automatizados como si no lo
son.
Para completar el sistema de protección en lo que a la seguridad afecta, el
artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros
?...que contengan datos de carácter personal sin las debidas condiciones de seguridad
que por vía reglamentaria se determinen?.
Sintetizando las previsiones legales puede afirmarse que:
a Las operaciones y procedimientos técnicos automatizados o no, que permitan el
acceso ?la conservación o consulta- de datos personales, es un tratamiento
sometido a las exigencias de la LOPD.
b Los ficheros que contengan un conjunto organizado de datos de carácter personal
así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que
se produzca, están, también, sujetos a la LOPD.
c La LOPD impone al responsable del fichero la adopción de medidas de seguridad,
cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.
d El mantenimiento de ficheros carentes de medidas de seguridad que permitan
accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de
éstos, constituye una infracción tipificada como grave.
La documentación encontrada entra en la consideración de documentación en
soporte papel, contiene datos personales, debiéndosele aplicar las medidas de
seguridad previstas reglamentaria a este tipo de ficheros.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/11
Por otra parte, el Título VIII ?De las medidas de seguridad en el tratamiento de
datos de carácter personal? del Reglamento de desarrollo de la LOPD, aprobado por
Real Decreto 1720/2007, de 21 de diciembre, se refiere a las medidas de seguridad
que deben implementarse en los ficheros y tratamientos automatizados o no
automatizados. En el art. 81.3 del mismo se establece que además de las medidas de
seguridad básica y medio, se aplicaran las medidas de seguridad de nivel alto a
aquellos ficheros que contengan, entre otros, datos referidos a la salud.
Los artículos 89, 92, 97, 108 y 114 del citado Reglamento, aplicables en el
presente caso, establecen lo siguiente:
?Artículo 89. Funciones y obligaciones del personal?.
?2. El responsable del fichero o tratamiento adoptará las medidas necesarias
para que el personal conozca de una forma comprensible las normas de seguridad
que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera
incurrir en caso de incumplimiento?.
Artículo 92. Gestión de soportes y documentos.
?1. Los soportes y documentos que contengan datos de carácter personal
deberán permitir identificar el tipo de información que contienen, ser inventariados y
solo deberán ser accesibles por el personal autorizado para ello en el documento de
seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte
imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento
de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter
personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los
locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada
por el responsable del fichero o encontrarse debidamente autorizada en el documento
de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a
evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que
contenga datos de carácter personal deberá procederse a su destrucción o borrado,
mediante la adopción de medidas dirigidas a evitar el acceso a la información
contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal
que la organización considerase especialmente sensibles se podrá realizar utilizando
sistemas de etiquetado comprensibles y con significado que permitan a los usuarios
con acceso autorizado a los citados soportes y documentos identificar su contenido, y
que dificulten la identificación para el resto de personas?.
Artículo 97. Gestión de soportes y documentos.
?2. Igualmente, se dispondrá de un sistema de registro de salida de soportes
que permita, directa o indirectamente, conocer el tipo de documento o soporte, la
fecha y hora, el destinatario, el número de documentos o soportes incluidos en el
envío, el tipo de información que contienen, la forma de envío y la persona
responsable de la entrega que deberá estar debidamente autorizada?.
El artículo 108, referido a la ?Custodia de los soportes? y aplicable a los ficheros
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/11
y tratamientos no automatizados, establece lo siguiente:
?Mientras la documentación con datos de carácter personal no se encuentre
archivada en los dispositivos de almacenamiento establecidos en el artículo anterior,
por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo,
la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en
todo momento que pueda ser accedida por persona no autorizada?.
IV
Para analizar la cuestión planteada, debe partirse de los conceptos de
responsable del tratamiento y encargado del tratamiento, que se definen en el artículo
3 de la LOPD:
?d) Responsable del fichero o tratamiento: persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad,
contenido y uso del tratamiento?.
?g) Encargado del tratamiento: La persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento?.
En el mismo sentido, el artículo 5.1.i) del Reglamento de desarrollo de la LOPD
define al encargado del tratamiento como i) ?La persona física o jurídica, pública o
privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento o del responsable del fichero,
como consecuencia de la existencia de una relación jurídica que le vincula con el
mismo y delimita el ámbito de su actuación para la prestación de un servicio?.
La figura del encargado del tratamiento se ajusta a la actividad desarrollada en
este caso por Don C.C.C.. Dicha figura está regulada por el artículo 12 de la LOPD y
en ella tienen cabida aquellos supuestos en que la entidad receptora de los datos se
limite a efectuar determinadas operaciones sobre los mismos, sin decidir sobre su
finalidad, en este caso, su destrucción. Por el contrario, no se ajustarán a dicho
concepto aquellos casos en los que la persona o entidad que reciba los datos pueda
aplicar los mismos a sus propias finalidades, decidiendo sobre el objeto y finalidad del
tratamiento, lo que convertirá a dicha persona o entidad, a su vez, en un responsable
del fichero o tratamiento. En este artículo 12 de la LOPD se establece lo siguiente:
?Artículo 12. Acceso a los datos por cuenta de terceros
1. No se considerará comunicación de datos el acceso de un tercero a los
datos cuando dicho acceso sea necesario para la prestación de un servicio al
responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada
en un contrato que deberá constar por escrito o en alguna otra forma que permita
acreditar su celebración y contenido, estableciéndose expresamente que el encargado
del tratamiento únicamente tratará los datos conforme a las instrucciones del
responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure
en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras
personas.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/11
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el
artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal
deberán ser destruidos o devueltos al responsable del tratamiento, al igual que
cualquier soporte o documentos en que conste algún dato de carácter personal objeto
del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será
considerado, también, responsable del tratamiento, respondiendo de las infracciones
en que hubiera incurrido personalmente?.
De la lectura del citado artículo 12 se deduce que, para que concurra la figura
del ?acceso a los datos por cuenta de tercero?, la relación deberá estar regulada en un
contrato que deberá constar por escrito o en alguna forma que permita acreditar su
celebración y contenido. El citado contrato permite que el responsable del fichero
habilite el acceso material a datos de carácter personal por parte de la entidad que va
a prestarle un servicio ?encargado del tratamiento- sin que, por mandato expreso de la
ley, pueda considerarse dicho acceso como una cesión de datos.
Es decir, la norma impone que siempre exista una relación jurídica de
naturaleza contractual entre el responsable y el tercero al que encarga el tratamiento y,
además, exige una constancia formal de dicha relación, que conste por escrito o en
cualquier otra forma que permita acreditar su celebración y contenido, que deberá
especificar las circunstancias previstas por los apartados 2 y 3 del citado artículo 12.
Esta exigencia es congruente con el sistema de protección de la LOPD ya que,
sin consentimiento ni conocimiento de los afectados, se está permitiendo un
tratamiento de sus datos personales por parte de un tercero. Por ello, es preciso que
conste quién es el responsable de dicho tratamiento y que éste se encuentre vinculado
jurídicamente con el tercero para poder exigirle, en virtud de dicha relación jurídica, el
cumplimiento de las garantías previstas en la citada ley.
Además, el artículo 12 de la LOPD garantiza un correcto tratamiento de los
datos personales respecto del contenido de ese contrato exigiendo que figuren
explícitamente las instrucciones del responsable del fichero al tercero, de forma que
este último sólo estará habilitado para tratar los datos conforme a aquéllas, no
pudiendo aplicarlos ni utilizarlos para fines distintos de los que expresamente han de
figurar en el contrato.
En cuanto a las medidas de seguridad que hayan de ser adoptadas por
quienes realicen trabajos de tratamiento de datos por cuenta de tercero, habrán de ser,
en principio, las mismas que las impuestas al responsable del fichero, y deberán
estipularse en el contrato.
En el supuesto objeto de este procedimiento, Don B.B.B. ha indicado que tras
buscar quien podía vaciar su consulta de enseres y documentos, se puso en contacto
con la empresa del Sr. C.C.C. que le pareció seria y se anunciaba en internet. En el
anuncio presentado indica todos los servicios que presta; relativo al papel señala: ?
A.A.A.,?. No se indica que se destruya el papel ni las medidas de seguridad que
adoptaría. Por tanto, el acuerdo al que llegó el Sr. B.B.B. con el Sr. C.C.C. no cumple
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/11
ninguno de los requisitos establecidos en el artículo 12 de la LOPD.
V
Por tanto, la no adopción de estas medidas de seguridad por parte del Sr.
B.B.B. supone una infracción del citado artículo 9 de la LOPD.
La infracción se tipifica como grave en el artículo 44.3.h) de la LOPD como
?Mantener los ficheros, locales, programas o equipos que contengan datos de carácter
personal sin las debidas condiciones de seguridad que por vía reglamentaria se
determinen?.
VI
El artículo 45.6 de la LOPD establece:
?Excepcionalmente el órgano sancionador podrá, previa audiencia de los
interesados y atendida la naturaleza de los hechos y la concurrencia significativa de
los criterios establecidos en el apartado anterior, no acordar la apertura del
procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que,
en el plazo que el órgano sancionador determine, acredite la adopción de las medidas
correctoras que en cada caso resultasen pertinentes, siempre que concurran los
siguientes presupuestos:
a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo
dispuesto en esta Ley.
b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador
hubiera determinado procederá la apertura del correspondiente procedimiento
sancionador por dicho incumplimiento?.
A este respecto, procede considerar lo establecido en el artículo 45.4 y 5 de la
LOPD:
?4. La cuantía de las sanciones se graduará atendiendo a los siguientes
criterios:
a El carácter continuado de la infracción.
b El volumen de los tratamientos efectuados.
c La vinculación de la actividad del infractor con la realización de tratamientos
de datos de carácter personal.
d El volumen de negocio o actividad del infractor.
e Los beneficios obtenidos como consecuencia de la comisión de la
infracción.
f El grado de intencionalidad.
g La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a
terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/11
infracción la entidad imputada tenía implantados procedimientos adecuados de
actuación en la recogida y tratamiento de IOS datos de carácter personal, siendo la
infracción consecuencia de una anomalía en el funcionamiento de dichos
procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
a Cuando se aprecie una cualificada disminución de la culpabilidad del
imputado o de la antijuridicidad del hecho como consecuencia de la
concurrencia significativa de varios de los criterios enunciados en el
apartado 4 de este artículo.
b Cuando la entidad infractora haya regularizado la situación irregular de
forma diligente.
c Cuando pueda apreciarse que la conducta del afectado ha podido inducir a
la comisión de la infracción.
d Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e Cuando se haya producido un proceso de fusión por absorción y la
infracción fuese anterior a dicho proceso, no siendo imputable a la entidad
absorbente?.
Trasladando las consideraciones expuestas al supuesto que nos ocupa, se
observa que la infracción de la LOPD de la que se responsabiliza al Sr. B.B.B. es
?grave?; que el denunciado no ha sido sancionado o apercibido por esta Agencia en
ninguna ocasión anterior; y que concurren de manera significativa varias de las
circunstancias descritas en el artículo 45.4 de la LOPD: en concreto, la ausencia de
beneficios obtenidos como consecuencia de la comisión de la infracción, la ausencia
de intencionalidad y la inexistencia de perjuicios causados a las personas interesadas
o a terceras personas. Todo ello, unido a la naturaleza de los hechos que nos ocupan
(los documentos fueron encontrados por la Guardia Urbana), justifica que la AEPD no
acuerde la apertura de un procedimiento sancionador y que opte por aplicar el artículo
45.6 de la LOPD.
VII
La Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo,
Sección Primera, recurso 455/2011, de 29/11/2013, analiza el apercibimiento como un
acto de naturaleza no sancionadora, como se deduce del fundamento de derecho
SEXTO:
?Debe reconocerse que esta Sala y Sección en alguna ocasión ha calificado el
apercibimiento impuesto por la AEPD, en aplicación del artículo examinado, como
sanción (SAN de 7 de junio de 2012, rec. 285/2010), y en otros casos ha desestimado
recursos contencioso-administrativos interpuestos contra resoluciones análogas a la
recurrida en este procedimiento, sin reparar en la naturaleza no sancionadora de la
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/11
medida expresada (SSAN de 20 de enero de 2013, rec. 577/2011, y de 20 de marzo
de 2013, rec. 421/2011). No obstante, los concretos términos en que se ha suscitado
la controversia en el presente recurso contencioso-administrativo conducen a esta
Sala a las conclusiones expuestas, corrigiendo así la doctrina que hasta ahora venía
presidiendo la aplicación del artículo 45.6 de la LOPD.?
Además, la sentencia interpreta o liga apercibimiento o apercibir con el
requerimiento de una actuación para subsanar la infracción, y si no existe tal
requerimiento, no sería apercibimiento, sino archivo, como se deduce del mencionado
fundamento de derecho:
?Pues bien, en el caso que nos ocupa el supuesto concreto, de entre los
expresados en el apartado quinto del artículo 45, acogido por la resolución
administrativa recurrida para justificar la aplicación del artículo 45.6 de la LOPD es el
primero, pues aprecia ?una cualificada disminución de la culpabilidad del imputado
teniendo en cuenta que no consta vinculación relevante de la actividad del denunciado
con la realización de tratamientos de datos de carácter personal, su volumen de
negocio o actividad y no constan beneficios obtenidos como consecuencia de la
comisión de la infracción.
Por ello, concurriendo las circunstancias que permitían la aplicación del artículo
45.6 de la LOPD, procedía ?apercibir? o requerir a la denunciada para que llevara a
cabo las medidas correctoras que la Agencia Española de Protección de Datos
considerase pertinentes, en sustitución de la sanción que de otro modo hubiera
correspondido.
No obstante, dado que resultaba acreditado que la denunciada por iniciativa
propia había adoptado ya una serie de medidas correctoras, que comunicó a la
Agencia Española de Protección de Datos, y que esta había verificado que los datos
del denunciante no eran ya localizables en la web del denunciado, la Agencia
Española de Protección de Datos no consideró oportuno imponer a la denunciada la
obligación de llevar a cabo otras medidas correctoras, por lo que no acordó
requerimiento alguno en tal sentido a ésta.
Recuérdese que al tener conocimiento de la denuncia la entidad denunciada,
procedió por iniciativa propia a dirigirse a Google para que se eliminara la URL donde
se reproducían la Revista y el artículo, a solicitar a sus colaboradores que suprimieran
cualquier nombre de sus artículos o cualquier otra información susceptible de parecer
dato personal y que revisaran las citas del área privada de la web para borrar
cualquier otro dato sensible, y, por último, a revisar la configuración de los accesos
para que los buscadores no tuvieran acceso a las Revistas.
En consecuencia, si la Agencia Española de Protección de Datos estimaba
adoptadas ya las medidas correctoras pertinentes en el caso, como ocurrió, tal y como
expresa la resolución recurrida, la actuación administrativa procedente en Derecho era
al archivo de las actuaciones, sin practicar apercibimiento o requerimiento alguno a la
entidad denunciada, pues así se deduce de la correcta interpretación del artículo 45.6
de la LOPD, atendida su interpretación sistemática y teleológica.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
10/11
Por el contrario, la resolución administrativa recurrida procedió a ?apercibir? a la
entidad PYB ENTERPRISES S.L., aunque sin imponerle la obligación de adoptar
medida correctora alguna, lo que solo puede ser interpretado como la imposición de
un ?apercibimiento?, entendido bien como amonestación, es decir, como sanción, o
bien como un mero requerimiento sin objeto. En el primer caso nos hallaríamos ante la
imposición de una sanción no prevista en la LOPD, con manifiesta infracción de los
principios de legalidad y tipicidad en materia sancionadora, previstos en los artículos
127 y 129 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común, y en el segundo
supuesto ante un acto de contenido imposible, nulo de pleno derecho, de conformidad
con lo previsto en el artículo 62.1.c) de la misma Ley.?
En el supuesto denunciado se da la circunstancia de que se trata de un hecho
único y puntual: la jubilación de un profesional que cierra su consulta; que intentó que
los documentos que había en su consulta fuesen destruidos conforme establece la
normativa de protección de datos, pero que no formalizó adecuadamente el contrato
de prestación de servicios. Tratándose de un hecho puntual no cabe requerimiento de
medidas concretas que eviten que se vuelva a incurrir en la misma infracción. Por ello,
resulta obligado, en atención a la citada sentencia de la Audiencia Nacional de
29/11/2013, interpretar, en congruencia con la naturaleza atribuida al apercibimiento,
que siendo la finalidad del mismo la imposición de medidas correctoras, cuando éstas
no puedan imponerse, lo procedente en Derecho es acordar el archivo de las
actuaciones.
Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia
Española de Protección de Datos,
SE ACUERDA:
? PROCEDER AL ARCHIVO de las presentes actuaciones.
? NOTIFICAR la presente Resolución a Don B.B.B., y al Ayuntamiento de
Badalona.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo
a lo dispuesto en el artículo 116 del Reglamento de desarrollo de la LOPD aprobado
por el Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición ante la Directora de la Agencia Española de Protección de Datos
en el plazo de un mes a contar desde el día siguiente a la notificación de esta
resolución o directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
11/11
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de
13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de
dos meses a contar desde el día siguiente a la notificación de este acto, según lo
previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es