Acerca de operadores lógicos
Última revisión
25/01/2024
Resolución de la Agencia Española de Protección de Datos PS-00031-2023 de 07 de diciembre de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 209 min
Órgano: Agencia Española de Protección de Datos
Fecha: 07/12/2023
Num. Resolución: PS-00031-2023
Cuestión
1 / 78Expediente N.º: EXP202202682
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Contenido
ANTECEDENTES .......................................................................................................... 2
PRIMERO:...
Contestacion
1/78
? Expediente N.º: EXP202202682
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Contenido
ANTECEDENTES..........................................................................................................2
PRIMERO:.................................................................................................................2
SEGUNDO:................................................................................................................2
TERCERO:...............................................................................................................26
CUARTO:.................................................................................................................26
QUINTO:..................................................................................................................28
SEXTO:....................................................................................................................37
SÉPTIMO:................................................................................................................38
OCTAVO:..................................................................................................................40
HECHOS PROBADOS................................................................................................40
FUNDAMENTOS DE DERECHO.................................................................................47
I Competencia.......................................................................................................47
II Normativa sectorial aplicable.............................................................................47
III Ámbito de aplicación-Dato de carácter personal...............................................49
IV responsable del tratamiento de datos personales............................................56
V Regulación en el RV de los datos que se tratan en el LTE................................57
VI Tratamiento de datos/Base legitimadora..........................................................57
VII Tratamiento de datos desde el diseño.............................................................63
VIII Medidas de seguridad....................................................................................68
IX Registro de actividades del tratamiento............................................................70
X Sanción y adopción de medidas........................................................................73
RESUELVE:.................................................................................................................75
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/78
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a
los siguientes
ANTECEDENTES
PRIMERO:
Con fecha de 9/03/2022, la directora de la Agencia Española de Protección de Datos
acordó iniciar actuaciones de investigación en relación con la DIRECCIÓN GENERAL DE
TRÁFICO, (DGT), con ocasión del informe realizado por el Gabinete Jurídico de la Agencia
el 29/10/2021 presentado el 30/06/2021 por la entidad ***CLIENTE.1.
La consulta planteaba, si, conforme con lo dispuesto en la normativa de protección de
datos, la recogida y tratamiento de datos en el marco del proyecto ?Libro Taller electrónico?
del vehículo (LTE) promovido por la Jefatura Central de Tráfico, representa un tratamiento
de datos de carácter personal, y, en su caso, cuál sería la base legal de legitimación para
dicho tratamiento.
En el informe se recoge entre otras afirmaciones, que según informa la página web de la
DGT?www.dgt.es ?, el LTE? es un servicio dirigido a talleres de reparación de vehículos a
través del cual pueden comunicar las reparaciones o mantenimientos realizadas en taller
sobre los vehículos para que los ciudadanos estén informados a través de consulta al
Registro de VEHÍCULOS de la DGT (?informe de vehículo?) para por ejemplo, el caso de
una compraventa de vehículo, fomentar su correcto mantenimiento, y la transparencia del
mercada.
Tal y como se expone en el informe, el tratamiento de datos de carácter personal al que se
refiere el citado LTE, podría ser contrario a los dispuesto en la normativa de protección de
datos personales.
SEGUNDO:
La Subdirección General de Inspección de Datos procedió a la realización de actuaciones
previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las
funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes
otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de
Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título
VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes
extremos:
1) Por exponer el marco general de partida, aunque los accesos por el servicio de inspección
se producen el 23/06/2022, se expresan al principio, como marco introductorio las siguientes
diligencias:
A) Se accedió el 23/06/2022 a la página web de la DGT,
https://sede.dgt.gob.es/es/vehículos/libro-taller/libro-digital-de-mantenimiento.shtml, en la
que se indica:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/78
?El libro digital de mantenimiento o, simplemente, libro taller, es una herramienta
informática que permite a los talleres autorizados anotar las revisiones oficiales,
kilometraje, reformas y reparaciones realizadas en los vehículos que les hayan sido
confiados por sus propietarios.
A través del servicio de ?Informe del vehículo?, cualquier persona podrá consultar el
informe completo del vehículo y contrastar los datos de las averías y reparaciones
enviados por los talleres con los datos que facilita un vendedor, reduciendo el fraude.
Además, cuanta más información esté disponible sobre el mantenimiento de un vehículo,
un posible comprador tendrá más razones para adquirir un vehículo mejor mantenido, que
otro sobre el que no tienen información.?
Sobre el funcionamiento del LTE, en la anterior página web, se menciona:
? El ciudadano lleva un vehículo al taller para la revisión o reparación del mismo.
? Tras realizar la reparación o el mantenimiento sobre el vehículo pertinente, los talleres
que se han integrado en el sistema trasladarán los datos del vehículo y las revisiones o
reparaciones realizadas a la DGT:
o Nombre del taller donde se ha llevado a cabo la reparación.
o Fecha de la intervención.
o Kms. del vehículo.
o Tipo de operación realizada (mantenimiento, reparación, siniestro parcial o total).
o Piezas afectadas y si se sustituyeron o repararon.
? La DGT guardará todos estos datos dentro del expediente del vehículo reparado,
estando disponibles desde ese momento para su consulta.
? A través del servicio de Informe del vehículo, cualquier persona, física o jurídica
puede obtener el informe completo de un vehículo en el que figurarán detalladas las
revisiones que se le han realizado, así como los kilómetros que contaba en cada una de
ellas y el taller donde se realizaron. La consulta puede hacerse por vía telemática a la DGT
o presencial en las Jefaturas, debiendo para ello abonar la tasa 4.1 de 8,67 euros?.
?La información que los talleres remiten son las reparaciones que han llevado a cabo en
los vehículos, como reparaciones en los cinturones de seguridad, sustitución de lunas, así
como los mantenimientos regulares de los vehículos: cambio de aceite, filtros, pastillas de
frenos??.
Se indican las modalidades de ?informes de vehículos? existentes, con la información
pública que puede ser útil de cara a comprar un vehículo que dispone la DGT referente a
un determinado vehículo consultado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/78
Existen varios tipos de informes que puedes solicitar: 'Reducido', 'Completo', 'Datos técnicos'
, 'Cargas', 'Vehículos a mi nombre' y 'Vehículos sin matricular'. ?Salvo el caso del
informe de 'vehículos a mi nombre', que necesitas ser el titular del vehículo o una tercera
persona autorizada en su nombre para descargarlo, el resto de los informes están
disponibles para cualquier persona, sea o no el titular del vehículo.?
?Te aconsejamos que antes de adquirir el vehículo, nos solicites un informe completo del
mismo a fin de verificar la existencia de embargos, precintos, procedimientos concursales
o cualquier otra carga de naturaleza administrativa o judicial.
También te proporcionará datos acerca de la vigencia de la inspección técnica u otros datos
técnicos, incluso las reparaciones y revisiones que se han llevado a cabo por los talleres
adscritos a nuestro libro digital de mantenimiento o libro taller.? Figura un link en esta
última referencia a ?nuestro libro digital de mantenimiento o libro taller?.
En la pestaña de ¿?Qué tipo de informes puedo obtener?, se indica que el informe
?reducido ?de carácter gratuito? informa: ?sobre la fecha de la primera matriculación en
España del vehículo y si hay alguna incidencia que impediría la transferencia del vehículo
o su circulación.?
?El informe completo, Incluye toda la información administrativa, identificación del titular,
municipio donde está domiciliado el vehículo, historial de ITV, kilometraje, número de
titulares, cargas? así como datos técnicos, puntuación EuroNCAP, y mantenimiento
respecto al vehículo solicitado.? Se informa que, si se va a solicitar un informe detallado, se
ha de ?comprar la tasa 4.1?.
En las informaciones, figuran signos de interrogación que haciendo clic sobre ellos, llevan
a ejemplos de la información que se contendría. En ?informe completo?, de tres páginas, se
contiene un literal informativo sobre el contenido de informe, en cuanto a que:
?El presente documento constituye un informe del Registro General de Vehículos de la
Dirección General de Tráfico (artículo 2º del ?artículo 2 del RD 2822/1998 de 23/12 del
Registro General de vehículos de la DGT) y que los datos reflejan la situación
administrativa del vehículo en la fecha y hora indicadas, añadiendo que el registro ?tiene
carácter puramente administrativo?. Figuran entre otros, los datos del titular, información
técnica, historial de inspecciones técnicas con la fecha realizada, la de caducidad, el
resultado y los kilómetros, el servicio, ejemplo ?público: alquiler sin conductor?, y aunque no
aporta concretas incidencias sobre revisión o mantenimiento, hay un apartado denominado
?historial de lecturas del cuentakilómetros? en el que se advierte que ?La DGT no se hace
responsable de la veracidad de las lecturas del kilometraje reflejadas en este informe ya
que han sido facilitadas por entidades ajenas a la DGT?.
Existe un apartado de cómo interpretar los informes, y en ?historial de lecturas del
cuentakilómetros?, se indica que ?en esta sección se recopilan todas las lecturas del
cuentakilómetros que han sido reportadas a la DGT indicando la fecha de lectura y de
origen de la misma ya sea una estación de ITV, una declaración voluntaria del titular,
lecturas de talleres?La DGT no se hace responsable de la veracidad de las lecturas ya
que han sido facilitadas por entidades ajenas?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/78
Por último, en la página web https://www.dgt.es/conoce-la-dgt/con-quientrabajamos
/talleres/ a 23/06/2022, se puede encontrar un mapa interactivo con los talleres
asociados a la plataforma ?Libro Taller Electrónico?. Se adjunta pantallazo de tres páginas.
B-Se accedió el 23/06/2022 a la web, web https://librotaller.com/que-es-librotaller/ en la que
se explica ?¿qué es ?libro taller? ?:
- ?Una plataforma desarrollada por la Confederación Española de Talleres de Reparación
de Automóviles y Afines (CETRAA), en colaboración con la Dirección General de Tráfico
(DGT), que permite a todos los talleres españoles registrar en los servidores de la DGT las
acciones de mantenimiento y reparación realizadas sobre los elementos de seguridad del
vehículo?.
- ?Los datos introducidos estarán disponibles en el Informe del Vehículo de la DGT al que
cualquier ciudadano puede acceder referido a un vehículo en concreto, previo pago de las
tasas correspondientes. Sin embargo, los talleres dados de alta en ?librotaller.com? podrán
no sólo introducir datos en la plataforma, sino consultar el historial de reparaciones de
cualquier vehículo mediante la introducción de un número de matrícula.
Además, cuando los talleres consulten el registro de reparaciones de un vehículo a través
de ?librotaller.com?, también accederán al historial de Inspecciones Técnicas de Vehículos
(ITV), incluyendo tanto las de resultado favorable como aquellas que no se hayan
superado. Igualmente, se muestra otra información relevante, como el motivo de la
inspección o el kilometraje del vehículo.
Asimismo, los talleres podrán llevar un registro propio de las reparaciones y
mantenimientos que llevan a cabo.
Cualquier taller legalmente establecido puede darse de alta en LibroTaller.com y acceder a
la plataforma tras realizar un único pago de 20? en concepto de gastos administrativos.
Las principales ventajas de esta iniciativa se resumen en los siguientes puntos.
? Incrementa la transparencia en el mercado de V.O.: se genera y fomenta la
transparencia en el mercado de los vehículos de ocasión, ya que los compradores podrán
consultar el historial de reparaciones y mantenimientos, influyendo por tanto en la
valoración de los vehículos.
? Disminuye los fraudes: al quedar registrado, entre otros datos, el kilometraje del
vehículo, se evitan las manipulaciones en los cuentakilómetros.
? Ayuda en la lucha contra los talleres ilegales: teniendo en cuenta que la lucha contra
los talleres clandestinos es prioritaria, además de otros factores, por su impacto en la
seguridad vial, resulta de gran importancia que EL PROYECTO IDEX (acrónimo de Incorporación
de Datos de Entidades Externas ? LIBRO TALLER quede fuera de su alcance,
afectando directamente a la demanda de sus servicios.
? Mejora la seguridad vial y el medioambiente: esto es debido al interés que se genera
por los mantenimientos preventivos, que influyen directamente en ambos elementos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/78
Además, permite la recopilación de datos valiosos para la elaboración de futuros estudios
sobre, entre otros, causalidad de accidentes.
? Facilita la actividad del taller: gracias a otorgar al mismo la capacidad de acceder al
historial de mantenimiento digital de cualquier vehículo.?
1)El día 25/03/2022, se envió requerimiento de información sobre el LTE a la
CONFEDERACIÓN ESPAÑOLA DE TALLERES DE REPARACIÓN DE AUTOMÓVILES Y
AFINES (EN ADELANTE, CETRAA), que, el día 18/04/2022, manifestó:
2.1 ?En lo referente a la operativa de Libro Taller los datos que proporciona el taller no
tienen la condición de datos de carácter personal, y en todo caso, obedecen a la estructura
del apartado Libro Taller del Registro de Vehículos de la DGT que es el destinatario de los
mismos?.
2.2 Adjunta impresión de pantalla con los espacios a cumplimentar en ?Registro? por parte
de un taller en la plataforma de la web https://librotaller.com/: figurando:
?Email.
?Nombre del usuario.
?Contraseña.
?Nombre del taller que se registra.
?CIF/NIF del taller.
?DNI persona.
?Número de inscripción en el Registro Industrial.
?Teléfono.
?Provincia.
En la parte inferior del ?Registro?, figuran dos apartados, uno de ellos para marcar en la
casilla ?He leído y acepto el aviso legal y la política de privacidad?. Indica el link de ?aviso
legal? y reproduce su contenido, que trata sobre el uso del servicio del portal.
En su apartado de ?confidencialidad y protección de datos?, se indica que existe un
tratamiento automatizado de datos responsabilidad de CETRAA como prestador de
servicio al usuario que se incorporan a un fichero de CETRAA, y que ?El usuario acepta
proporcionar información completa y correcta en el formulario de registro o suscripción.?
En su apartado de finalidades, consta que ?son el mantenimiento y gestión de la relación
con el Usuario, así como las labores de información.?
En el apartado de ?Cesión de datos a terceros?:
?CETRAA no realizará cesión de datos de los usuarios a terceros.?. Figura un apartado de
ejercicio de derechos.
En el apartado de ?aceptación y consentimiento? se indica que ?el usuario ha sido
informado de las condiciones sobre protección de datos personales, aceptando y
consintiendo el tratamiento automatizado de los mismos por parte de CETRAA en la forma
para las finalidades indicadas en la presente política de protección de datos personales.
Ciertos servicios prestados en el portal pueden contener condiciones particulares con
previsiones específicas en materia de protección de datos?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/78
No existe un apartado propio de ?política de privacidad, considerando que se incluiría en el
?aviso legal?.
Manifiesta CETRAA que el registro de un taller en la plataforma tiene un coste de 20 euros
que percibe CETRAA.
2.3 CETRAA indica que una vez registrado, detalla ?los pasos a seguir para hacer una
anotación en un determinado vehículo el LTE?. Adjunta pantallazo de las dos pestañas
principales: ?envío de datos?, y ?buscar reparaciones?.
En ?ENVÍO DE DATOS?, se puede:
-? realizar un nuevo envío de datos?, salen unos campos para rellenar que son
bajo el literal ?Crear incidencia?: bastidor del vehículo, matrícula, NIVE (Número de
Identificación de Vehículo), fecha y hora, kilómetros del vehículo, importancia de la
actuación, conceptos que, bajo códigos prefijados, desplegables que no se ven todos,
aparecen elementos mecánicos como por ejemplo en este caso ?dirección del vehículo? y
?descripción? en que no se ve ningún apunte.
-pestaña de: ?Registro de envíos? para consultar los envíos pendientes y
realizados a la DGT sobre las actuaciones realizadas por ese taller.
CETRAA también muestra una pestaña de ?consulta de vehículos? donde se solicita la
matrícula y el bastidor del vehículo a consultar, según se indica en la documentación
remitida a esta Agencia. Como resultado de la consulta, la plataforma proporciona los
datos del vehículo (matrícula, marca y modelo, fecha de matriculación y combustible) y las
anotaciones realizadas con anterioridad en el LTE que están registradas en la base de
datos de la DGT (fecha y hora, kilometraje del vehículo, tipo de reparación, concepto de la
reparación, descripción y piezas) y el historial de Inspecciones Técnicas de Vehículos
(ITVs) del vehículo consultado (fecha ITV, kilometraje del vehículo, motivo, provincia y
resultado).
1) El día 25/03/2022, se envió un requerimiento de información a la DGT sobre la
plataforma LTE. Habiendo recogido la notificación, no respondió, por lo que se reiteró el
requerimiento con recogida el día 06/05/2022.
La DGT contestó el día 02/06/2022, lo siguiente:
3.1 ?La Dirección General de Tráfico facilita a las estaciones de inspección técnica de
vehículos y a los agentes de reparación de vehículos la posibilidad de comunicar aquellas
reparaciones e intervenciones realizadas en aquellos y con impacto en la seguridad vial.
Reitera las ventajas instalación de libro taller electrónico: seguridad vial enfatizando las
ventajas de la persona que con rentas bajas adquiera el vehículo, la obtención de
estadísticas con transparencia en la compraventa incluyendo el control de la mala praxis
de manipulación del cuentakilómetros.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/78
Aporta una serie de datos y estadísticas relativas a la manipulación del kilometraje por
antigüedad de los vehículos.
3.2 ?Los talleres integrados en el servicio de comunicación de mantenimiento de vehículos,
anotan y comunican a la DGT la información de las reparaciones y mantenimientos que
realizan. Los ciudadanos así tienen conocimiento de las reparaciones y del mantenimiento
realizados sobre un vehículo que hayan sido anotados previamente en el libro electrónico
de mantenimiento.
Esta información es pública, de manera que se pueden consultar las reparaciones e
intervenciones realizadas sobre cualquier vehículo, aunque únicamente aparecerán las
actuaciones realizadas por los talleres integrados en el servicio del libro electrónico de
mantenimiento teniendo en cuenta que la incorporación de los talleres al proyecto de libro
electrónico de mantenimiento es voluntaria.
Reitera lo señalado en su web sobre que poder consultar el historial de mantenimiento y
reparaciones aporta transparencia al mercado de compraventa de vehículos y fomenta el
correcto mantenimiento de los vehículos y que ?cuanta más información esté disponible
sobre el mantenimiento de un vehículo más fácil será por parte de un posible comprador
conocer y evaluar el estado real de un vehículo.
Señala que:? Los talleres adheridos realizarán las anotaciones de mantenimiento
pertinentes de los vehículos en su ?documenta management system? (en adelante DMS),
del cual exportará transmitiendo todos los días al Registro de Vehículos los siguientes
datos:
? bastidor
? matrícula
? Anotaciones de mantenimiento o reparaciones que se han llevado a cabo en los
vehículos, como reparaciones en los cinturones de seguridad, sustitución de lunas o
mantenimientos regulares de los vehículos (cambio de aceite, filtros, pastillas de frenos,
etc.).
3.3 Manifiesta que ?el libro electrónico de mantenimiento es un elemento de seguridad
pasiva, en base al interés público, la DGT puede solicitar a los talleres adheridos que le
cedan los datos anteriormente indicados (bastidor, matrícula y reparaciones o
mantenimientos). El taller solo podrá ceder aquellos datos cuando el usuario lo haya
autorizado expresamente (normalmente marcando una casilla en la orden de trabajo).
En resumen, el taller cede los datos en base al consentimiento expreso del interesado,
mientras que la DGT los solicita en base al interés público.
3.4 A las cuestiones planteadas, la DGT respondió:
3.4.1 Fecha de puesta en producción del LTE, así como el número y porcentaje de talleres
dados de alta en esta plataforma.
El ?Inicio de la comunicación IDEX con los talleres: principios de 2018. Número actual de
usuarios: seis?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/78
3.4.2 Descripción de las funcionalidades del LTE:
A este punto, la DGT indica lo siguiente:
?Anotación de las reparaciones y mantenimientos efectuados al vehículo, junto con la
?fecha de realización y el kilometraje a esa fecha?.
3.4.3 Identificación de los responsables del tratamiento de los datos gestionados en el
LTE.
?Los datos personales que se tramitan en el LIBRO ELECTRÓNICO DE
MANTENIMIENTO (denominado ?libro taller? por la AEPD) están recogidos en el
tratamiento ?Registro de Vehículos?
El responsable de tratamiento es la DGT.
Toda la información del tratamiento está publicada en el RAT del Ministerio del interior:
http://www.interior.gob.es/web/servicios-al-ciudadano/participacion-ciudadana/proteccionde-datos-de-caracter-personal
/tutela-de-los-derechos#registro?
3.4.4. Identificación y acreditación (contratos) de los encargados del tratamiento de los
datos gestionados en el LTE, conforme a lo establecido en el artículo 28 del RGPD.
La DGT señala lo siguiente, pero no aporta documentación al respecto:
?El taller solo tiene acceso a información técnica relativa a las modificaciones realizadas.
Está limitado el acceso a las matrículas que los clientes les indican, existiendo un contrato
entre el taller y el cliente.
Existe clausulado estándar para los encargados de tratamiento a disposición de todas las
Subdirecciones en la intranet de la DGT, apartado de protección de datos. Se trata de un
modelo de clausulado estándar para proveedores con y sin acceso a datos personales. Es,
pues, un requisito antes de proceder al alta del taller por parte de Gerencia de Informática.?
La DGT no ha aportado los contratos de los encargados del tratamiento de datos
asociados a la plataforma.
3.4.5 Copia del registro de todas las actividades de tratamiento de datos personales asociados
al LTE. Dicho registro, al que se refiere el artículo 30 del RGPD, deberá aportarse
en su versión inicial, junto con cualquier adición, modificación o exclusión en el contenido
del mismo.
La DGT indica que:
?El Taller no accede a ningún dato de carácter personal recogido en el Registro General de
Vehículos a través del Libro de Mantenimientos.?
3.4.6 Condiciones bajo las que un taller puede incorporarse al LTE.
La DGT manifiesta:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/78
?Los talleres que quieran darse de alta en el libro electrónico de mantenimiento deben
presentar el IAE en donde se especifique que realizan la actividad laboral relacionada con
la reparación de vehículos.
Las siguientes webs recogen documentación relativa a requisitos y datos necesarios para
darse de alta:
https://sede.dgt.gob.es/es/vehículos/libro-taller/ y https://librotaller.com/?
3.4.7 Detalle de los procesos de alta y baja de un taller en el LTE.
?Alta informática por parte de la Dirección General de Tráfico?, indicando las mismas webs
del aparado anterior
3.4.8 Descripción del procedimiento establecido relativo al tratamiento de los datos personales
de los usuarios de los talleres adscritos al LTE:
a. Copia de la información en materia de protección de datos facilitada a través de
cualquier canal a los usuarios:
La DGT indica que:
?Toda la información relativa a la protección de datos se puede consultar en la sede
electrónica de la DGT (https://www.dgt.es/contenido/proteccion-de-datos/). No existe
información adicional, conforme a lo indicado en el punto 3.?
En dicha página web (https://www.dgt.es/contenido/proteccion-de-datos/), se encuentra
disponible la normativa aplicable, las funciones y datos de contacto del DPD de la DGT, y
cómo ejercer los derechos en materia de protección de datos.
b.Detalle de los canales y procedimientos habilitados para dar a conocer a los usuarios
toda la información en materia de protección de datos personales.
La DGT se remite a la información que se puede consultar en la web
https://www.dgt.es/contenido/proteccion-de-datos/.
c. Información relativa a los canales, mecanismos y metodologías utilizados para recabar
la aceptación por parte de los usuarios de la política de privacidad o cualquier otro documento
empleado para informar en materia de protección de datos personales, así como
para la prestación de los consentimientos previstos en tales documentos, en su caso.
A este punto, la DGT señala que:
?El taller solo podrá ceder aquellos datos cuando el usuario lo haya autorizado
expresamente (normalmente marcando una casilla en la orden de trabajo).?
3.4.6 Detalle de la información asociada a vehículos y clientes registrada en el Registro
de Vehículos de la DGT por los talleres adscritos al LTE.
A este punto, la DGT contesta:
?Matrícula, reparaciones efectuadas y fecha de realización.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/78
3.4.7 Plazo de conservación de la información registrada en el LTE:
La DGT indica que los plazos de conservación de la información del LTE, coinciden con los
de la actividad de tratamiento de datos relativa al Registro de Vehículos:
?se conservarán durante el tiempo preciso para cumplir con la finalidad para la que se
recabaron y determinar las posibles responsabilidades que se pudieran derivar de dicha
finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de
archivos y documentación.?
3.4.11 Acceso a los datos registrados en el LTE:
-Por parte de los ciudadanos:
La DGT señala que, si existiera información anotada e incluida en el ?Registro de
vehículos?, que no siempre sucede, sección LTE, se facilitaría, mediante la obtención de un
?informe detallado del vehículo?, a través de la sede electrónica de la DGT con certificado
digital o presencialmente ante la Jefatura Provincial de Tráfico. Sí no existiera tal
información incluida, lógicamente, no se incluiría al no aparecer.
3.4.12 Adicionalmente, se deberán realizar las siguientes consultas sobre vehículos reales
y aportar los informes que se generan:
- Consulta de un vehículo real cuyos datos están registrados en el LTE.
La DGT adjunta un documento (Anexo 1? ejemplo, ?informe vehículo con anotaciones de
mantenimiento?) fecha informe, 3/03/2022, en el que figura a pie de página el literal
informativo que ya se ha mencionado arriba, sobre: ?El presente documento constituye un
informe del Registro General de Vehículos de la Dirección General de Tráfico (artículo 2º
del Real Decreto 2822/1998, de 23 de diciembre??
Se observa información en distintos apartados, entre otros:
- ?datos del titular?,
- ?identificación del vehículo?, con matrícula, fecha matriculación, marca, modelo,
bastidor, domicilio del vehículo, ?historial de titulares? con fecha inicio-fin y tipo: ?empresa?
en este caso,
- ?historial de inspecciones técnicas? con resultado y kilómetros a los que fue pasada
y la estación.
- ?historial de lecturas del cuentakilómetros?, fecha, lectura, en número de kilómetros
y responsable de la lectura, que puede ser declaración voluntaria o estación, figurando
debajo. ?La DGT no se hace responsable de la veracidad de las lecturas de kilometraje
reflejadas en este informe ya que han sido facilitadas por entidades ajenas a la DGT?.
- ?Información técnica?.
- ?LIBRO TALLER?, figura en columnas, de izquierda a derecha, la ?fecha legalización? que `podría ser la fecha en que se realiza la actuación. Para este vehículo, tres fechas
, la primera el 11/11/2020
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/78
kilómetros, a la derecha de la fecha legalización,
importancia, aquí figura, baja en las tres,
descripción, figurando en que consiste, puede ser ?efectuar revisión?, en otras
?cambiar pastillas freno TR?, ?cambiar batería? o ?cambiar filtro gas oil?, y descripción, se
asocia con la afectación pieza, aquí figura en todas ?sustitución?,
-En tipo, aquí figura en todos ?revisión mantenimiento?, que encuadra:? pieza?:
que aquí figuran distintos tipos de filtro (aceite, aire, habitáculo) o batería,
-En concepto, aquí figura: por cada fecha uno, ?frenado?, ?motor?, ?cambio de
aceite?.
- Consulta de un vehículo real cuyos datos no están registrados en el Libro Taller
Electrónico.
La DGT adjunta un documento (Anexo 2) en el que figura un informe fechado el día
25/01/2022 correspondiente a un vehículo donde no figura ningún epígrafe correspondiente
al Libro Taller Electrónico.
3.4.13 Por parte de un taller:
a) Descripción del proceso y datos necesarios para consultar los mantenimientos y reparaciones
de todos los vehículos incluidos en el LTE por parte de un taller.
La DGT responde que es necesaria la integración informática por IDEX-TALLER a través
del servicio web (web Service) tras alta en DGT. Los requisitos se especifican en la página
web https://sede.dgt.gob.es/es/vehículos/libro-taller/.
Añade la DGT que:
?Es necesario tener instalado en el repositorio de confianza del servidor usado en la
integración la clave pública actualizada de nuestros certificados electrónicos de nuestros
dominios? y de acuerdo al documento anexo (Manual incluido en Kit de welcome pack),
que ?el Web Service se publicará encriptado utilizando SSL y aplica el protocolo de
comunicaciones WS-Security (Seguridad en Servicios Web) que suministra un medio
seguro con la DGT para el uso del servicio?.
La mención de la página web, lleva a la sede electrónica, apartado de información del LTE.
En ninguno de los apartados de la información se indica nada del titular del vehículo en
cuanto a consentimiento, u otro tipo de acción, sino que se contienen términos como en el
apartado de ¿Qué información se registra a través de IDEX Libro taller?:?la información
que los talleres deben remitir??, o en: ¿A QUIEN VA DIRIGIDO?, se indica que ?a talleres
de reparación de vehículos y asociaciones de talleres?. En QUE DEBES SABER, se indica
que:
?La DGT ha creado el libro taller electrónico para que los talleres de reparación de
vehículos puedan comunicar las reparaciones e intervención realizadas en los vehículos
El objetivo del proyecto es que los ciudadanos estén informados de las reparaciones e
intervenciones que se realizan en los vehículos para aportar transparencia al mercado de
compraventa de vehículos y fomentar el correcto mantenimiento de los vehículos,
pudiendo consultar dichas reparaciones e intervenciones en el servicio de informe de
vehículos.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/78
En: ¿QUE MEDIOS TENGO PARA ACCEDER A IDEX LIBRO TALLER?, se indica que
?La realización de consultas y anotación de reparaciones a través de IDEX será mediante
el web service expuesto por la DGT que permite la integración de terceros a través de
internet.
Es necesario tener instalado en el repositorio de confianza del servidor usado en la
integración la clave pública actualizada de nuestros certificados electrónicos de nuestros
dominios TRÁFICO o SEDE según corresponda.
¿Cuál es el proceso de alta en IDEX libro taller?
Las empresas interesadas en este servicio podrán contactar con la DGT a través del
buzón soportecau@dgt.es para poder ser atendido dicho correo, con IDEX como literal en
el cuerpo del mensaje, apartado servicio/ aplicación, figurando una guía completa para en
alta en el sistema
En ?¿en qué ventajas tiene para los talleres el libro taller de la DGT?:
?Los talleres colaboradores en el proyecto tendrán acceso a información sobre el propio
libro taller, así como sobre las inspecciones ITV, con esta información podrá conocer con
más detalle el vehículo sobre el que va a realizar la reparación, lo que facilitará los trabajos
que tengan que realizar en el vehículo, ahorrando tiempo y recursos?
3.4.14 Descripción en detalle de la información y/o informes a los que tiene acceso el taller
sobre el vehículo consultado.
A este respecto, la DGT señala que se accede a los siguientes datos a partir de la
matrícula comunicada por el cliente:
? Propulsión.
? Fecha primera matriculación.
? Marca.
? Modelo.
? Kilometraje.
? Anotaciones Libro Taller.
? Lista de incidencias Libro Taller.
3.4.15 Medidas de control de acceso de los empleados de los talleres al LTE.
La DGT responde que los empleados sólo pueden comunicar datos al Registro de Vehículos
y consultar los datos comunicados.
3.4.16 Copia de las cláusulas de confidencialidad de los talleres adscritos al LTE.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/78
La DGT manifiesta que existe clausulado estándar para los encargados de tratamiento a
disposición de todas las Subdirecciones en la intranet de la DGT, apartado de protección
de datos, pero no adjunta ningún tipo de documentación a este respecto.
3.4.17La DGT aporta el documento, ?Manual de Artefacto.WS Intranet Taller?,
?incorporación datos taller-DGT, IDEX (incorporación de datos entidades externas) versión
27/05/2014, que tiene como objetivo la descripción de la interfaz para la incorporación a la
DGT de información relativa a reparaciones y otras actuaciones de importancia de
vehículos llevadas a cabo en talleres. Este envío se lleva a cabo a través de un servicio
web que cuenta con dos métodos:
? Método enviar Fichero: Envía la información del taller a la DGT.
? Método recoger Resultado: Recoge el resultado del procesamiento del envío de la
información.
El documento describe técnicamente el proceso de integración de ese servicio web. En el
documento se describen los datos utilizados por este servicio web y que las incidencias de
funcionamiento se reportarán a la DGT.
1) El día 05/07/2022, se accedió a la página web
https://transparencia.gob.es/transparencia/transparencia_Home/index/PublicidadActiva/Org
anizacionYEmpleo/Registro-Tratamiento/RAT-MINT.html donde figura el REGISTRO DE
ACTIVIDADES DE TRATAMIENTO de Ministerio del Interior, fechado a 26/06/2022, entre
ellos, figura el tratamiento relativo al ?Registro de Vehículos?, constando como significativo:
-Descripción del tratamiento: registro de titulares de vehículos, arrendatario a largo plazo y
conductores habituales.
-Categoría de interesados: personas físicas y jurídicas, titulares, arrendatarios, conductores
habituales, poseedores de vehículos.
-descripción categoría de datos personales: nombre y apellidos, dirección, datos de tutela,
o emancipados, matrícula, bastidor, adaptación de vehículo en su caso.
-Cesión de datos: Entre otra, figura: ciudadanos con interés legítimo, no figura talleres asociados
a sistema LTE
-Base de legitimación: RGPD artículos 6.1. c) aludiendo a diversa normativa, y se añade el
artículo 6.1.e)
2) El día 11/07/2022, se envió un requerimiento de información A VARIOS TALLERES
(346 a 380) que figuran en la página web de la DGT, https://www.dgt.es/conoce-la-dgt/conquien-trabajamos
/talleres/, donde se muestra, tal y como se indica en la propia página web,
una relación de talleres dados de alta en el sistema del LTE. Para ello, se realizó un
muestreo de diez talleres en base a su localización y tamaño.
Uno de los talleres que recibió el requerimiento no contestó, otro manifestó que ?no está
aún adherida? y no disponen de datos. Un taller manifiesta que, a pesar de estar de alta en
el sistema, siendo su uso ?complejo para profesionales del taller?, en ningún momento ha
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/78
hecho uso del mismo ni se ofrece a los clientes. A pesar de ello, aporta copia de resguardo
de depósito con presupuesto del vehículo donde se recogen datos del mismo, de su titular
sin que figura ningún apartado sobre cesión de datos a la DGT.
En este requerimiento se solicitó la siguiente información:
5.1) Descripción del modo de acceso del taller a la plataforma LTE:
a.Descripción del proceso de consulta de los mantenimientos y/o reparaciones de los
vehículos registrados en la plataforma, incluyendo la especificación de los datos necesarios
para hacer una consulta sobre un determinado vehículo. Se distinguirán dos casos:
-Un vehículo que haya visitado su taller.
-Un vehículo que no haya visitado su taller.
b.Descripción de la información y/o informes a los que tiene acceso el taller cuando consulta
un determinado vehículo.
***EMPRESA.1 señala tanto para los que han visitado el taller como para los que no, que
se realiza ?en la plataforma?, ?introduciendo el número de matrícula o del bastidor?.
Manifiesta que cuando este taller consulta un determinado vehículo, tiene acceso a la
siguiente información/informes:
?El último mantenimiento o reparación que se ha efectuado a un determinado vehículo y la
fecha de la última ITV.?. Adjunta pantallazo en el que se ve la información del vehículo
(bastidor, matrícula, NIVE y kilometraje), el tipo, importancia y fecha de la incidencia, el
código y descripción de la incidencia, y las piezas asociadas a dicha incidencia.
***EMPRESA.2, tan sólo indica que acceden a la plataforma mediante usuario y
contraseña. Una vez dentro del sistema, señala que los datos que pueden añadir sobre un
determinado vehículo son el bastidor, matrícula, kilómetros del vehículo y los trabajos
realizados en el mismo. Adjunta pantallazo.
***EMPRESA.3, señala que ?El acceso al Libro Taller DGT es por usuario y contraseña,
previo registro.
Manifiesta que la anotación en el LTE se realiza para el cumplimiento de la normativa
relativa a la Zona de Bajas Emisiones (ZBE) de Barcelona y el Reglamento del Registro
metropolitano de vehículos extranjeros y otros vehículos autorizados en las zonas de bajas
emisiones, donde se encuentra el taller, y, en consecuencia, debe obtener conformidad
previa a través del Libro Taller DGT para proceder a la prueba dinámica del vehículo por la
ZBE y evitar que las autoridades sancionen la circulación de ese vehículo sin distintivo
ambiental.?
?Solo accede a la plataforma (LTE) para solicitar autorización y poder circular en aquellos
vehículos que no llevan etiqueta o distintivo medioambiental cuando entran en nuestro
taller y debemos circular con ellos fuera de nuestras instalaciones (pasar ITV, etc.) La
prueba dinámica del vehículo es necesaria para el diagnóstico y comprobación del mismo
para poder ejecutar el encargo del cliente al taller.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/78
Aporta un link informativo a dirección para cada una de la web, de la ZBE y del citado
Reglamento.
Declara que ?no consulta ni mantenimientos ni reparaciones de los vehículos registrados
en la plataforma ni de vehículos que hayan visitado nuestro taller ni de los que no lo han
visitado anteriormente. A continuación, detallamos con ejemplos de pantallas del libro taller
para que vean los datos que allí aparecen al consultar una reparación o mantenimiento
[?]?
A continuación, muestra una serie de pantallazos donde se observa que se puede
consultar los datos de un vehículo en la plataforma mediante la introducción de la matrícula
o bastidor del mismo. También muestra un pantallazo donde se pueden realizar envíos de
datos a la plataforma.
-***EMPRESA.4, manifiesta que nunca ha accedido a la plataforma ni para consultar, ni
para introducir datos. Aporta copia de la impresión de una pantalla en la que no figura
registro alguno.
Aporta copia de su cláusula de información sobre protección de datos personales que
incluye un apartado de condiciones generales de la reparación. No se contiene extremo
alguno sobre información de cesión de datos a la DGT del LTE. De la copia del ejemplar:
?orden de reparación?, tampoco se contiene aspecto alguno sobre el LTE.
Contesta al requerimiento, punto por punto, aportando información sobre el funcionamiento
de la plataforma, ?conforme a las instrucciones de CETRAA?.
Reitera que en el menú ?buscar reparaciones?, se pide matrícula y bastidor, dando como
resultado las anotaciones realizadas con anterioridad en libro taller y que están registradas
en la base de datos de la DGT y el historial de ITVs. Añade que la consulta de anotaciones
existentes en el RV de la DGT realizadas por este método, pueden ser realizadas por
cualquier taller, dado que la consulta siempre es de la totalidad de la información que
consta en el RV de la DGT.
También detalla que en la introducción de datos del titular del vehículo existen en ?tipo de
incidencias?, las de reparación, revisión/mantenimiento, siniestro parcial, siniestro total.
Reitera el argumento que los datos introducidos como bastidor y matrícula no tienen datos
de carácter personal, ya que ?son datos conocidos por la DGT, siendo esta el gestor de
esos datos. ?simplemente se usan esos datos como identificadores para comunicar la
intervención efectuada sobre el vehículo?. Al considerar que no existen datos personales,
resuelve que no se produce cesión de datos.
- ***EMPRESA.5, manifiesta: ?Los datos facilitados a DGT no tienen carácter de dato con
carácter personal, ya que tanto la matrícula como bastidor son datos conocidos por la
DGT, de hecho, DGT es el gestor designado de esos datos. Simplemente se usan esos
datos como identificadores para comunicar la intervención efectuada sobre el vehículo,
que en ningún caso son datos de carácter personal.? Adjunta procedimientos, Hojas 1-4.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/78
Contesta al requerimiento, punto por punto, aportando información sobre el funcionamiento
de la plataforma. En concreto, en cuanto a la descripción del proceso de consulta de los
mantenimientos y/o reparaciones de los vehículos registrados en la plataforma, manifiesta:
?Este procedimiento de consulta no diferencia las anotaciones existentes en el Registro de
Vehículo de la DGT efectuadas en mí taller de las realizadas por cualquier otro taller
usuario de Libro Taller. La consulta siempre es de totalidad de la información que consta
en el Registro de Vehículos de la DGT.?
- ***EMPRESA.6 manifiesta que se dio de alta en la plataforma, pero no le ha dado uso
alguno y no ha registrado dato alguno. Adjunta plantilla de orden de trabajo donde no se
hace referencia al LTE.
5.1) Descripción del procedimiento relativo al tratamiento de los datos de los
clientes y de sus vehículos por parte del taller:
a.Descripción de los datos que se registran en la plataforma.
b.Copia de la información relativa al tratamiento de los datos del cliente y de su vehículo
(políticas de privacidad, modelos de formularios, órdenes de trabajo, etc.) que se le facilita
cada vez que visita el taller.
c. Descripción de los mecanismos utilizados por el taller para recabar el consentimiento de
los clientes para la cesión de los datos de su vehículo a la Dirección General de Tráfico a
través de la plataforma.
d.Descripción de las actuaciones que lleva a cabo el taller cuando el cliente no da su consentimiento
para la cesión de los datos de su vehículo a la Dirección General de Tráfico a
través de la plataforma.
***EMPRESA.1 señala:
-Registran: matrícula, bastidor, kilometraje del vehículo y descripción de los trabajos a
realizar.
-Sobre la información relativa al tratamiento de los datos del cliente y de su vehículo
(políticas de privacidad, modelos de formularios, órdenes de trabajo, etc.) que se le facilita
cada vez que visita su taller, manifiesta:
?Hasta el día 11/07/2022 se utilizaba la cláusula aportada como DOCUMENTO Nº 1 que se
ha variado para obtener evidencia escrita de aportar toda la información, así como el
recabado del consentimiento para la cesión de datos. Aporta DOCUMENTO Nº 2?
Al final del documento Nº 2 figura la cláusula de protección de datos con siguiente texto:
?De conformidad con la normativa vigente y aplicable en protección de datos de carácter
personal, le informamos que sus datos serán incorporados al sistema de tratamiento
titularidad de ***EMPRESA.1
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/78
- Finalidad: Gestión administrativa, de facturación, de contabilidad y de las obligaciones
contractuales y legales derivadas de la prestación del servicio.
- Plazo de conservación: Durante el tiempo necesario para cumplir con la finalidad
mencionada, para cumplir con las obligaciones legales que se deriven y para determinar
las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento
de los datos personales.
- Base legítima: La prestación del servicio contratado (ejecución del contrato o medidas
precontractuales).
- Decisiones automatizadas y/o elaboración de perfiles: No se prevén.
- Cesiones: sus datos podrán ser cedidos a Organismos públicos y/o Administraciones
públicas con competencia en la materia, entidades bancarias y jueces y tribunales cuando
sea requerido. También podrán ser cedidos a Encargados del Tratamiento que nos prestan
algún servicio (p. ej. copias de seguridad). Si lo consiente expresamente, los datos de su
vehículo serán cedidos a la Dirección General de Tráfico a través de la Plataforma ?Libro
Taller Electrónico?. Existen dos casillas, para marcar, o no, el consentimiento a la cesión de
los datos del vehículo a la DGT con la dirección web de la DGT http), y el literal de que,
con la firma del presente documento, confirma que ha leído la información relativa al
tratamiento
En cuanto a descripción de las actuaciones que lleva a cabo el taller cuando el cliente no
da su consentimiento para la cesión de los datos de su vehículo a la DGT a través de la
plataforma, ***EMPRESA.1 dice:
?Este taller no se ha encontrado con que un cliente no quiera dar su consentimiento tras la
utilización del documento actualizado (DOCUMENTO Nº 2).
Anteriormente, tampoco se ha producido ninguna incidencia en relación a la utilización de
dicha plataforma cuando se informaba verbalmente de ello a los clientes. No obstante, en
caso de no aportarse el consentimiento, este taller no inscribiría a dicha plataforma los
datos del cliente, realizando igualmente los trabajos encargados.?
-***EMPRESA.2, adjunta copia de plantilla de una orden de trabajo que contiene un
apartado de datos personales que informa sobre el tratamiento, señalando que: ?Los datos
no se cederán a terceros salvo en los casos en que exista una obligación legal.?, sin
alusión alguna al LTE. En idéntico sentido consta en la plantilla de una factura que aporta.
-***EMPRESA.3., manifiesta que ?no cede datos de los vehículos de sus clientes a la DGT
ya que solo accede a la plataforma (Libro Taller Electrónico) para solicitar autorización y
poder circular en aquellos vehículos que no llevan etiqueta o distintivo
Adjunta como Anexo 1, un documento con la información relativa al tratamiento de datos
de cliente y su vehículo cuando visita el taller. Este documento tiene un apartado
denominado ?AVISO DE PRIVACIDAD? y otro apartado denominado
?CONSENTIMIENTOS? donde no se hace mención, en ninguno de ellos, ni a la plataforma
Libro Taller Electrónico ni a la DGT.
-***EMPRESA.4 señala que ?ni utiliza ni ha utilizado nunca la plataforma.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/78
-***EMPRESA.5, señala que para la ?información relativa al tratamiento de los datos del
cliente, y al consentimiento? adjunta copia del documento de seguridad donde se recogen.
Hojas 5-8
Para ?el derecho de oposición y supresión cuando el cliente no da su consentimiento a la
cesión de datos a DGT, adjuntamos copia del modelo/ modelos, hojas 9-11?.
Aporta información relativa al tratamiento de datos de clientes, a 25/01/2022, en el que
figura la base jurídica del consentimiento para la gestión de la relación con los clientes, sin
que figure como destinatario la DGT. Tampoco en el formulario que han de rellenar los
clientes en el que hay un apartado de ?protección de datos?, se hace referencia al LTE ni
se solicita el consentimiento del interesado para ceder datos de su vehículo a la plataforma
LTE.
1)El día 02/09/2022 se envió un segundo requerimiento de información a la DGT, que
contestó el día 20/09/2022. En este requerimiento, se solicitaba la siguiente información:
6.1 Se le cuestiona a que obedece la discordancia entre el número de talleres que figuraba
en la página web https://www.dgt.es/conoce-la-dgt/con-quien-trabajamos/talleres con la
respuesta que dio el 02/06/2022, en que indicaba que el número de usuarios o talleres era
de SEIS, y se le solicita que los identifique.
En la respuesta manifiesta que el ?listado de empresas dadas de alta en la sede no está
actualizado? y otras dejan de comunicar datos.
Manifiesta que la información anotada en cada vehículo tiene trazabilidad para identificar
qué empresa ha realizado la anotación, por si fuera necesario verificarlo.
Por otro lado, ?perteneciente al mismo CIF, puede haber diferentes sucursales, las cuales
también están identificadas. El ?Anotador? es la empresa o sucursal que firma la
comunicación.?
Proporciona una relación de SEIS entidades, con un CIF entre las que figura la CETRAA.
6.2 Listado de todos los vehículos registrados en el sistema del LTE donde se muestre la
matrícula del vehículo, así como el NIF y el nombre del taller que remitió a la DGT la información
relativa a las reparaciones y mantenimientos realizados sobre cada uno de esos
vehículos.
6.3 Seleccionar dos vehículos de cada uno de los talleres que figuren en el listado del punto
anterior y remitir toda la información asociada a cada uno de ellos registrada en el sistema
del LTE.
La DGT contesta a ambas preguntas, refiriéndose a:
?2. Ejemplos de anotaciones Libro de mantenimiento?
Indica que los datos que se recogen a través del libro son los indicados en el apartado
?detalle incidencia?, constando ya registrado en el RV los datos correspondientes al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/78
apartado ?vehículo?. Aporta como ejemplos consultas en una pantalla de una aplicación
referida a 12 vehículos. La parte superior refleja el título ?búsqueda de vehículos por
matrícula? y se pueden ver los resultados en TRES apartados:
1 ?vehículo?, con datos de este,
2 ?detalle incidencia? sobre una concreta anotación en el LTE. En este último
campo se puede ver:
- ?anotador? figurando una numeración, que la DGT llama ?DOI?, y se aprecia que esta
referencia de anotador puede ser distinto del CIF de la empresa, y, de hecho, no se
corresponde con los CIF de las SEIS entidades que según la DGT se hallan en la
actualidad vigentes en el sistema, siendo además una de ellas la CETRAA, que no es un
taller, sino una Asociación.
- ?fecha de anotación?, la más antigua es de 11/02/2020
empresa de. En el resto de las matrículas coindicen CIF empresa reseñada por DGT y DOI
anotador visible en el campo del registro.
3 ?incidencias taller?, donde figuran referencias a episodios de fechas como 29/04/2015
teniendo en cuenta que según la información de la DGT el proyecto LTE comenzó en
2018, ?tipo?: ?siniestro parcial?, ?concepto barra de refuerzo estructura vehículo?, y la opción
de ?ver detalle? elemento: faldón lateral, panel lateral, faldón tr. En ambos figura como
anotador el cif A28586550, que se corresponde con AUDATEX, una de las SEIS entidades.
En otro de los vehículos, en ?incidencias taller, las fechas, los kms., importancia y tipo de
revisión/reparación, con la descripción, y la opción de ver detalle. Constan así, asociadas
una reparación con la descripción y cinco revisiones mantenimiento también con sus
descripciones (cambio batería, pastillas freno?). El CIF de la empresa asociado como
anotador es el G58203431, que se corresponde con la entidad CETRAA
Se observa que alguno de los anotadores en el LTE de esas doce matrículas que da la
DGT, que debían ser talleres, consultada la aplicación ?monitoriza? figuran entidades que
nada tienen que ver con tales servicios de reparación de vehículos como AUDATEX
ESPAÑA SA (actividad de servicios relacionados con las tecnologías de la información y la
informática y que tiene dos matrículas del listado), o GT MOTIVE (actividades de impresión
y artes gráficas).
También se observa que las fechas de anotaciones además de las reseñadas, la más
actual sería de 4/05/2022,
Mediante el acceso a la página web https://monitoriza.axesor.es, se observa que:
-la entidad GANVAM que figura en el listado de los SEIS, con NIF G28549145, es la
Asociación Nacional de Vendedores de Vehículos a Motor. Sobre esta asociación, la DGT
no aporta datos de ningún vehículo registrado en la plataforma.
-Respecto a CETRAA figuran los datos registrados de dos de los vehículos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/78
-la entidad CEINOR SOFT S.L. con NIF B39574231, se dedica a actividades de
consultoría informática. Sobre esta empresa, la DGT no aporta datos de ningún vehículo
registrado en la plataforma, si bien figura en el listado de las SEIS entidades,
-la entidad ***EMPRESA.8 con NIF (...) se dedica al alquiler de automóviles y vehículos de
motor ligeros. Sobre esta empresa, la DGT aporta datos de dos vehículos registrados en la
plataforma (matrículas (?) y (?)).
-6 de las matrículas proporcionadas tienen un anotador que se correspondería no con la
forma del CIF sino de NIF
1)En base a la anterior contestación remitida a esta Agencia por la DGT, se decidió enviar
dos requerimientos de información, uno para aquellas entidades que no tenían
aparentemente y a priori, relación con el objeto social de la automoción, y otro enviado a
las entidades que sí.
A los primeros se les solicitó:
7.1 Fecha de alta en la plataforma y documentación que lo acredite.
GANVAM (ASOCIACIÓN NACIONAL DE VENDEDORES DE VEHÍCULOS A MOTOR)
respondió que fue en 2019, aunque no dispone de documentación que lo acredite. La
interfaz de conexión con la herramienta de la DGT está hoy deshabilitada.
CEINOR SOFT S.L. respondió que: ?En diciembre de 2018, uno de nuestros clientes,
***CLIENTE.1, nos solicitó el proyecto de realizar una herramienta que permitiese conectar
el ERP utilizado en sus centros de servicio con la DGT, con el fin de facilitar a este
organismo el historial de mantenimientos de vehículos realizado en sus centros de
servicio.?
Para esto se solicitó a CEINOR darse de alta en el portal de la DGT como colaborador del
LTE ?y se nos entrega un pack de desarrollador preparado por la DGT con acceso a un
entorno de PREPRODUCCIÓN preparado también por la DGT? para que los equipos
técnicos puedan desarrollar y probar las distintas soluciones en un entorno irreal con datos
inventados para no distorsionar la realidad en el entorno de PRODUCCIÓN. Entre los
meses de enero y marzo de 2019, el equipo de CEINOR estuvo trabajando en la solución
técnica de la herramienta utilizando siempre el entorno de PREPRODUCCIÓN y enviando
datos NO REALES. ***CLIENTE.1 se encargaba de organizar la parte más administrativa y
legal, y realizó una consulta para ello ante la AEPD y garantizar así una correcta utilización
de los datos. La solución técnica fue dada por finalizada el 6/03/2019, con la última
comunicación al entorno de PREPRODUCCIÓN y la confirmación de aceptación por parte
de la DGT en dicho entorno. Dicho proyecto quedó parado a la espera de la respuesta de
la AEPD y el equipo legal de ***CLIENTE.1, en la que se diera el visto bueno para preparar
la fase de PRODUCCIÓN en los talleres, que nunca llegó a realizarse. Se trata de un
proyecto que nunca ha sido puesto en PRODUCCIÓN y todos los datos enviados y
recibidos fueron con datos irreales en entornos de PREPRODUCCIÓN.
Acompaña e mail de 13/12/2018 de la DGT a CEINOR indicando que ha comprobado que
CEINOR ya tiene permisos para IDEX TALLER en el LDAP. ?Podéis probar sin problemas?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/78
AUDATEX ESPAÑA S.A. en su respuesta indica que no es un taller mecánico ni una
asociación de talleres mecánicos, requisito necesario para registrarse en la Plataforma. No
está registrada en la plataforma "LTE Taller Electrónico?. Con anterioridad a marzo de
2017, AUDATEX estuvo involucrada en una colaboración con la DGT en relación con otros
proyectos diferentes a esta Plataforma "Libro Taller Electrónico".
7.2. Descripción del modo de acceso a la plataforma.
GANVAM señala que debía realizarse por medio de una aplicación web, con arreglo a las
especificaciones que los informáticos que la DGT les indicó, realizándose pruebas e
interacciones con la herramienta de la DGT. Señala una empresa que ?diseño ?para ellos la
interfaz-hoy deshabilitada-de conexión con dicha herramienta de la DGT?, ?que nunca llegó
a estar operativa?. Indica que los datos recabados para envío a la DGT eran propiedad de
las marcas fabricantes.
7.3 Identificación de los datos que registra en la plataforma.
GANVAM manifestó que ?Los datos recabados de las marcas por medio de un Excel eran
cuatro columnas: Bastidor o matrícula, fecha y kilómetros recorridos. Pero no se llegaron a
registrar en la plataforma de la DGT. La intención futura era recoger también los campos
relativos al mantenimiento del vehículo (Tipo de incidencia, código de incidencia,
descripción, pieza afectada, afectación, importancia y fecha), ?pero nunca llegamos a
ponerlo en marcha?.
CEINOR SOFT S.L. manifiesta que adjunta los únicos cinco envíos que constan, todos
ellos en entorno de PREPRODUCCIÓN, siendo desde ellos erróneos y descartados al no
poder establecer la comunicación. De los tres envíos restantes, dos se hicieron desde
nuestras instalaciones (con datos ficticios) y el tercero y último se llevó a cabo desde el
taller de nuestro cliente ***CLIENTE.1, suponemos que con sus propios datos. Todas estas
comunicaciones fueron realizadas el 06/03/2019 entre las 14:49 y las 16:51. ?El certificado
empleado en PREPRODUCCIÓN era el de CEINOR SOFT como desarrollador para la
realización de las pruebas en el entorno irreal, pero una vez que el proyecto entrase en su
fase de PRODUCCIÓN sería el propio certificado del cliente, ***CLIENTE.1, el que sería
utilizado para todas las comunicaciones.?
AUDATEX ESPAÑA S.A. contesta a cada uno de los puntos.
7.4 Descripción del proceso que sigue para recabar los datos que se registran en la
plataforma, señalando y acreditando tanto la información que se facilita a los titulares de
los vehículos como la que se recaba de los mismos.
GANVAM manifestó que: ?Los datos se recogían mediante ficheros Excel que la marca
enviaba a nuestro correo electrónico trasladando la siguiente información: bastidor o
matrícula, fecha de lectura y número de kilómetros. No se reciben nuevos ficheros desde
febrero de 2020 y se han destruido los existentes. Los vehículos cuyos datos eran
recabados para su envío a la DGT eran vehículos propiedad de las marcas fabricantes que
durante sus procesos logísticos (recompra o buy-back a empresas alquiladoras,
importaciones o trade-in) eran titularidad de dichas marcas y previo reacondicionamiento
serían después comercializados normalmente a través de sus redes de concesionarios. No
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/78
hemos recabado datos de vehículos cuya titularidad no fuera de las propias marcas. No
obstante, no hemos llegado a incorporar a la plataforma ningún dato de ningún vehículo.?
7.5 Descripción de la información y/o informes a los que tiene acceso su organización
cuando consulta un determinado vehículo en la plataforma.
GANVAM respondió que ?No disponemos de esa información ya que la aplicación web
nunca funcionó, no pudiendo acceder a esos informes o cualquier tipo de información. El
objetivo era que el campo kilometraje apareciera actualizado en el INTEVE, el informe
telemático de la DGT, y estrechar la posible horquilla de fraude de aquellos que manipulan
el odómetro del vehículo durante los espacios que discurren entre una inspección de ITV y
otra (momento en el que la lectura del odómetro es reportada a la DGT)?.
?Realizamos pruebas de reporte de datos que resultaron infructuosos por problemas
técnicos. Cuando cambió la DGT del sistema de información ATEX a IDEX, intentamos
hacer un nuevo piloto de reporte de datos y ya no fue posible, desistiendo del proyecto en
febrero de 2020.?
7.6 Listado de todos los vehículos cuyas reparaciones y mantenimientos ha registrado en
la plataforma, identificándolos por su matrícula e indicando la fecha de anotación en la
plataforma.
GANVAM manifiesta que no registró ningún vehículo, ?por dificultades técnicas de la
plataforma.?
7.7 En el supuesto de que su organización tenga designado un delegado de protección de
datos, indique el asesoramiento que le ha proporcionado en relación con el tratamiento de
los datos registrados en la plataforma.
GANVAM manifestó que no tiene nombrado DPD, ya que no recaba datos personales del
titular del vehículo. Como la plataforma no funcionó, no han podido registrar dato alguno, y
se han destruido los datos con una antigüedad superior a un año.
8. Con fecha 4/10/2022, se requirió a tres entidades que figuraban en la lista enviada por la
DGT con las matrículas como ?anotadores?, la siguiente información:
8.1. Fecha de alta en la plataforma LTE y documentación que lo acredite.
-***EMPRESA.7, contestó el 15/11/2022 que ?no está, ni lo ha estado con anterioridad al
día de hoy, dada de alta en la plataforma Libro Taller Electrónico. En consecuencia, al
derivar toda la información solicitada del alta en la plataforma, no es posible aportarla por
inexistencia de la misma.?
-***EMPRESA.8, el día 13/10/2022, señaló que es una Sociedad especializada en
servicios de Renting de Vehículos-alquiler a largo plazo- para grandes empresas, pymes,
profesionales y particulares. Explica en que consiste el contrato de arrendamiento de
vehículo en el que se incluye a su cargo el mantenimiento preventivo. Añade que esas
operaciones no son realizadas por talleres propios, sino por una red de talleres, bien de
Servicios Oficiales de Talleres de una marca de Automóviles concreta o bien talleres
independientes (multimarca o no incorporados a una red oficial), y con los que ha
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/78
establecido una serie de acuerdos, con la finalidad principal de dar cobertura a sus clientes
en todo el territorio nacional.
Añade que ?no se encuentra? adherido al sistema de información de LTE creado por el
Convenio que se estableció por la Confederación Española de Talleres de Reparación de
Automóviles y Afines (CETRAA) y la DGT, ni realiza ninguna actuación en dicho LTE, bien
sea de carga de información y datos de las operaciones de mantenimiento que han sido
realizadas al vehículo ni de comunicación de las mismas a la Dirección General de Tráfico,
ni tampoco ha recibido información sobre este LTE de alguno de los talleres.
-***EMPRESA.9 contestó al requerimiento de información el día 10/10/2022, indicando que
inició la incorporación de datos al sistema en julio de 2018 y que los datos ?mantenimiento
o reparación, o siniestro? se registran con la previa autorización del cliente.
8.2. Descripción del modo de acceso del taller a la plataforma:
a. Descripción del proceso de consulta de los mantenimientos y/o reparaciones de los
vehículos registrados en la plataforma, incluyendo la especificación de los datos necesarios
para hacer una consulta sobre un determinado vehículo. Se distinguirán dos casos:
i. Un vehículo que haya visitado su taller.
ii. Un vehículo que no haya visitado su taller.
b. Descripción de la información y/o informes a los que tiene acceso el taller cuando
consulta un determinado vehículo.
-***EMPRESA.9 contesta describiendo el proceso de acceso a la plataforma que efectúa
en la web de CETRAA dirección http://librotaller.cetraa.com/login, se proporcionan los
datos de registro como taller usuario de la plataforma: Usuario o email y Contraseña. y el
proceso de consulta de mantenimientos y/o reparaciones de los vehículos registrados en la
plataforma, aportando la descripción de la información y/o informes a los que tiene acceso
el taller cuando consulta un determinado vehículo (ya se ha descrito con anterioridad), y
describiendo los datos que se registran en la plataforma (ya se ha descrito con
anterioridad).
Ante la cuestión ?Descripción del proceso de consulta de los mantenimientos y/o
reparaciones de los vehículos registrados en la plataforma?, aporta pantallazo en el que
comienza en el apartado ?buscar reparaciones? de la página de inicio, debiendo
introducirse ?matrícula y bastidor? , y dando como resultado información que según
manifiesta, ?no diferencia las anotaciones existentes en el Registro de Vehículo de DGT
efectuadas en mí taller de las realizadas por cualquier otro taller usuario de Libro Taller. La
consulta siempre es de la totalidad de la información que consta en el Registro de
Vehículos de la DGT.?
Ante la cuestión: ?Descripción de la información y/o informes a los que tiene acceso el
taller cuando consulta un determinado vehículo?, aporta ?resultados de la búsqueda?,
conteniéndose:
-matrícula del vehículo y datos de la primera ITV, del año 2015, (fecha de implantación del
LTE según la DGT: 2018), con el número de los kms. y el resultado. La información se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/78
reitera anualmente conteniendo también si fue favorable o desfavorable, siendo la última
ITV, la de 2021.
-anotación de kilometraje de 30/09/2021, que según indica ***EMPRESA.9 pertenece al
bloque de ?anotaciones de reparaciones o mantenimientos realizados en LTE? y que esta
opción se usa exclusivamente para la solicitud de una autorización excepcional de
circulación por la ZBE para prueba dinámica del vehículo.
8.3. Descripción del procedimiento relativo al tratamiento de los datos de los clientes y de
sus vehículos por parte del taller:
a. Descripción de los datos que se registran en la plataforma.
b. Copia de la información relativa al tratamiento de los datos del cliente y de su vehículo
(políticas de privacidad, modelos de formularios, órdenes de trabajo, etc.) que se le facilita
cada vez que visita el taller.
a. Descripción de los mecanismos utilizados por el taller para recabar el consentimiento
de los clientes para la cesión de los datos de su vehículo a la DGT a través de la plataforma.
d. Descripción de las actuaciones que lleva a cabo el taller cuando el cliente no da su consentimiento
para la cesión de los datos de su vehículo a la Dirección General de Tráfico a
través de la plataforma.
- ***EMPRESA.8 manifestó sobre la información que da a sus clientes en relación a los
servicios de mantenimiento, que se informa a sus clientes en el proceso de contratación y
formalización del contrato de Renting de las concretas condiciones de prestación de los
servicios, incluidos los de mantenimiento preventivo del vehículo, de acuerdo con las
indicaciones y prescripciones realizadas y definidas por el fabricante del vehículo
(revisiones regulares, cambios de elementos tales como aceite y líquidos, entre otras); así
como de las opciones de selección de los talleres asociados a ***EMPRESA.8 que realizan
operaciones de mantenimiento correctivo (reparaciones de piezas, daños en el vehículo
derivados de accidentes y partes de accidentes), poniendo a disposición de sus Clientes
un listado de los Talleres Asociados, así como datos de contacto: ubicación geográfica,
números de teléfono y otros datos de la especialización del Taller.
-***EMPRESA.9 indica:
En cuanto a la información sobre el tratamiento de los datos personales a los titulares de
los mismos, se cumple mediante la inclusión de la cláusula para clientes en el presupuesto
y en la orden de reparación. En dicha cláusula se identifica como responsable del
tratamiento de los datos personales y se describe la finalidad del tratamiento: Realización
del servicio solicitado y facturación del mismo, siendo la ejecución del contrato la
legitimación para el tratamiento de los datos. Además, se informa al cliente de que puede
ejercer sus derechos a acceder, rectificar, oponerse, limitar, portar y suprimir los datos ante
el responsable del tratamiento; además de acudir a la autoridad de control competente
(AEPD).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/78
En cuanto a la descripción de los mecanismos utilizados por el taller para recabar el
consentimiento de los clientes para la cesión de los datos de su vehículo a la DGT, éste
dice:
?Se incorpora en la orden de reparación y en el presupuesto la solicitud al cliente de su
autorización para el volcado de datos al libro taller, mediante opción sí/no.?.
Sin embargo, este taller no ha adjuntado documentación que acredite lo señalado
anteriormente.
Indica que en el caso de que el cliente no de su autorización para el volcado de datos a la
DGT, el taller no incorpora los datos de la reparación del vehículo en el libro taller.
8.4. Listado de todos los vehículos cuyas reparaciones y mantenimientos ha registrado en
la plataforma, identificándolos por su matrícula e indicando la fecha de anotación en la
plataforma.
-***EMPRESA.8 manifiesta que el Taller asociado les traslada las operaciones de
mantenimiento que han sido realizadas sobre el vehículo, puesto que la propiedad del
vehículo es de ***EMPRESA.8 y dichas operaciones y actuaciones son abonadas por
***EMPRESA.8 al Taller... ?Fuera de estos casos, ***EMPRESA.8 no recibe ninguna otra
información por parte del Taller, ni tampoco tiene acceso a la información que se genera
dentro del Libro de Taller Electrónico por parte de la Dirección General de Tráfico, salvo
aquella información que quiera obtener, como cualquier ciudadano, a través de los trámites
establecidos por la Dirección General de Tráfico, y que se encuentran accesibles en
https://sede.dgt.gob.es/es/vehículos/informe-de-vehículo/.
-***EMPRESA.9 no aporta respuesta a este punto 4.
TERCERO:
Con fecha 6/03/2023, la directora de la AEPD acordó:
? PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a la DIRECCIÓN
GENERAL DE TRÁFICO, con NIF Q2816003D, por la presunta infracción del RGPD en los
siguientes artículos:
?-6.1, de conformidad con el artículo 83.5.a) del RGPD, y a efectos de prescripción de la
infracción, tipificada como muy grave en el artículo 72.1.b) de la LOPDGDD.
- 25.1, de conformidad con el articulo 83.4 a) del RGPD, y a efectos de prescripción de la
infracción, tipificada como grave en el artículo 73.f) de la LOPDGDD.
- 32, de conformidad con el artículo 83.4.a) del RGPD, y a efectos de prescripción de la
infracción, tipificada como grave en el artículo 73.f) de la LOPDGDD.
- 30, de conformidad con el artículo 83.4.a) del RGPD, y a efectos de prescripción de la
infracción, tipificada como leve en el artículo 74.l) de la LOPDGDD.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/78
?a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1/10, del Procedimiento
Administrativo Común de las Administraciones Públicas, la sanción que pudiera
corresponder sería de un apercibimiento por cada una de las infracciones.?
CUARTO:
Con fecha 9/03/2023, se recibe solicitud de ampliación de plazo por parte de la reclamada,
que se autoriza.
Con fecha 15/03/2023, se recibe escrito de la reclamada manifestando:
1) ?Con relación a la pregunta que realiza la AEPD sobre si existe alguna normativa estatal
o de la Unión Europea que regule la información que la DGT tiene del LIBRO ELECTRÓNICO
DE MANTENIMIENTO (también denominado Libro Taller), se presenta la siguiente
contestación:
A-Información recogida por la DGT:
?En el RV de la DGT no se incluye el apartado de ?LIBRO ELECTRÓNICO DE
MANTENIMIENTO?, dado que solo se consignan las reparaciones y mantenimientos que
voluntariamente comunique el taller, con la finalidad de dar cumplimiento a lo preceptuado
en el artículo 2 del RGV, puesto que, a lo largo de la vida útil del vehículo, se modifican sus
características técnicas, debido a reformas, accidentes o reparaciones que afectan
directamente a la seguridad vial?.
B-Como fundamentos jurídicos para un acceso público a los datos contenidos en el LTE,
señala el artículo 61 del Reglamento UE 2018/858, REGLAMENTO (UE) 2018/858 del Parlamento
Europeo y del Consejo de 30/05/2018, sobre la homologación y la vigilancia del
mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y
las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican
los Reglamentos (CE) n.o 715/2007 y (CE) n.o 595/2009 y por el que se deroga la Directiva
2007/46/CE, DOUE de 14/06/2018, titulado:
?Obligación de los fabricantes de facilitar la información relativa al sistema DAB (sistema
de radio digital) de los vehículos y la información sobre la reparación y el mantenimiento
del vehículo?. El precepto y el ANEXO X señalan las medidas dirigidas a los fabricantes
para garantizar el acceso a la información sobre el DAB y a la información sobre REPARACIÓN
y mantenimiento del vehículo con formato normalizado y de acceso fácil, o al acceso
concedido a concesionarios o talleres de reparación autorizadas, y las autoridades de homologación
no la concederán hasta certificar dichos elementos.
A ello añade que, por la Ley General de Consumidores, los bienes y servicios han de aportar
información e instrucciones sobre su uso y consumo.
Menciona otra normativa, en proyecto, una iniciativa de la Comisión Europea de 2022, Reglamento
de Datos (DATA ACT) y el Reglamento UE 2022/868, del Parlamento Europeo del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/78
Consejo de 30/05/2022, relativo a la gobernanza de datos, que no acotan específicamente
el aspecto de las reparaciones de vehículos por sus titulares, personas físicas, particulares.
1) Señala que a 9/03/2023, hay 847 talleres activos en el sistema de anotaciones voluntarias
de reparaciones.
En cuanto a la no coincidencia de DOI de anotador con el CIF de la empresa, la explicación
es la siguiente:
?En la fase de anotación del taller por cada línea aparece su CIF. Pero luego, hay un proceso
de envío del paquete de datos por hora que es cada plataforma o representante que
elija el taller quien lo firma. Es decir, el taller inscribe con su CIF y CETRAA, que es la plataforma
de talleres, envía los registros.
A la hora de hacer una anotación, el sistema crea un archivo con los diferentes DOI ?anotador?
que son los talleres. Al hacer el envío, el archivo se firma con la información de CETRAA.
Por tanto, es normal que no coincidan los identificadores.?
2)Los datos que los talleres le dan a la Dirección General de Tráfico relativos a estas reparaciones
, no entran dentro de la categoría de datos de carácter personal, ya que, se trata
de datos de carácter técnico referidos a la fecha de intervención, kilómetros del vehículo,
tipo de operación realizada y piezas afectadas, y se considera que los datos de
matrícula/bastidor del vehículo son datos de carácter personal que ya figuran en la base de
datos de vehículos de la Dirección General de Tráfico, que está legalmente habilitada para
su tratamiento, tal como se recoge en el Registro de Actividades de Tratamiento.
3)Del artículo 2 del RGV se deduce la habilitación para el tratamiento de los datos del
LTE, cuando ?refiere los obligatorios del permiso de circulación, así como ?cuantas vicisitudes?
sufran posteriormente aquellos, o su titularidad, y al conocimiento de las características
técnicas del mismo y se su aptitud para circular?.
4)Se cumple el artículo 30 del RGPD y el 31 de la LOPDGDD, pues la DGT mantiene su
registro de actividades de tratamiento
5)Acompaña cláusulas de protección de datos revisadas para ser usadas en contrato con
proveedores externos considerados encargados de tratamiento. ?Hacemos hincapié en
que los talleres adheridos al proyecto del LTE no tienen la consideración de encargados de
nuestro tratamiento de vehículos, puesto que los datos de carácter personal que gestionan
se los facilita el propio titular del vehículo?.
QUINTO:
Con fecha 29/09/2023, se acordó abrir un periodo de diez días de práctica de pruebas,
según lo dispuesto en el artículo 77 y 78 de la LPACAP.
Se acordó:
1.Dar por reproducidos a efectos probatorios:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/78
A) El escrito de la directora de 9/03/2022 que acuerda iniciar actuaciones de
investigación, así como el informe del Gabinete Jurídico de 29/10/2021, número 53/2021 a
instancia de ***CLIENTE.1, fecha presentación 30/06/2021, fecha de envío 2/11/2021.
B) Las actuaciones previas de investigación,
C) Las alegaciones al acuerdo de inicio del procedimiento sancionador referenciado,
presentadas por DIRECCIÓN GENERAL DE TRÁFICO, y la documentación que a ellas
acompaña.
1.Se incorporan al procedimiento como pruebas:
A) El contenido que la DGT señaló en su escrito de respuesta, sobre la información que
está a disposición de cualquiera en su web, cuando se le cuestionó por la información
proporcionada a usuarios titulares de vehículos que acudían a reparar/mantener sus
vehículos a talleres acogidos al sistema del LTE. En concreto manifestó que se hallaba en
https://www.dgt.es/contenido/proteccion-de-datos que se imprime e incluye, con el título
?info recogida datos?. Su contenido comienza por el literal ?política de privacidad, a
26/05/2023? y contiene tres apartados:
- Información básica sobre protección de datos. Se contiene información general no
referida a un supuesto concreto de tratamiento, responsable del tratamiento, finalidad,
licitud, plazos de conservación, y transferencia de datos. En todos ellos figuran links al
RAT.
-DPD de la DGT, conteniendo los datos de contacto y sede, y,
- Como ejercer tus derechos.
B) El RAT obtenido de la web de la DGT, última versión actualizada, que figura al pie de la
antes citada página, para comprobar si ha habido alguna variación con el obtenido en
actuaciones previas, y averiguar si fuera el caso el motivo. Se trata de un archivo pdf del
RAT del Ministerio de Interior, de 488 páginas, ?fecha última actualización 27/09/2023?. En
el folio 438, figura el de ?registro de vehículos?, con:
- responsable: la DGT,
-Fines: ?Gestión de los datos personales asociados a las matrículas de vehículos
registrados?
-Base legal-legitimación: Contiene, el artículo 6.1.c), y diversas leyes como el RD
2822/1998 de 23/12, por el que se aprueba el Reglamento General de Vehículos (RGV) o
el RDL 6/2015 de 30/10 por el que se aprueba el texto refundido se la Ley sobre Tráfico,
circulación de Vehículos a Motor y Seguridad Vial. y 6.1.e) del RGPD.
-Categorías de interesados: Personas físicas y jurídicas titulares/arrendatarios/conductores
habituales/poseedores de vehículos.
-Categorías de datos personales: nombre y apellidos, dirección?matrícula, bastidor?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/78
-Categorías de destinatarios: Entre otros, figuran: ?ciudadanos con interés legítimo?,
?estaciones de ITV?.
C) Con objeto de incorporar la relación entre la matriculación del vehículo y su titular, se
accede a la web y se incorpora la información obtenida del término de consulta ?DGT
solicitud de matriculación de vehículo?, que lleva al resultado figurando en primer resultado
la página de dgt.gob.es, en la que haciendo clic lleva a la url
https://sede.dgt.gob.es/es/vehículos/matrículaciones-de-vehículos/matrículacionordinaria
/index.shtml, y se imprime la primera página que lleva el anuncio: ?¿Qué debes
saber??, en la que se indica que ?una vez realizado el trámite de matrícula, te
entregaremos el número de matrícula y el permiso de circulación del vehículo?. También
existe el apartado de: ?¿Quién puede realizarlo??, señalando que ?debe hacerla
el comprador-titular o cualquier persona autorizada en su nombre.?
En el apartado de ?¿Que necesitas??, figura como destacados el ?impreso oficial? y la
tarjeta ITV electrónica o en formato papel.
Se incorporan los mencionados apartados, así como el ?impreso oficial? que aparece
titulado ?TRÁMITES DE VEHÍCULOS? en cuyo pie del impreso, figura como legitimación de
recogida de datos, la Ley de Seguridad Vial.
1.Se solicita a la DGT como responsable del tratamiento de los datos, que, aporte o/e
informe:
a)Con respecto a las anotaciones en el sistema de libro taller electrónico LTE, por parte de
los talleres:
- Si existía para estos o para la CETRAA, instrucciones o protocolo con las actuaciones a
seguir para:
-verificar que los datos responden a la veracidad, certeza y exactitud de las
reparaciones /mantenimientos llevados a cabo y anotados y registrados a la postre en el
Registro de vehículos.
Respondió con fecha 11/10/2023 que se entiende que el taller actúa con profesionalidad,
veracidad, certeza y exactitud en la información que comunica a la DGT, y los talleres se
responsabilizan de la información suministrada a la DGT.
-verificar que se obtiene de modo efectivo el consentimiento informado de los
titulares de los vehículos al momento de llevar el coche a reparar/ mantener.
Respondió que ?los datos personales que se consultan a través del Libro electrónico de
mantenimiento (por matrícula o por bastidor) para hacer actualización de los datos técnicos
del vehículo ya constan en el Registro de Vehículos y por lo tanto no es necesario recabar
el consentimiento relativo al artículo 6.1.a) de los interesados para la comunicación de los
datos de mantenimiento o reparación al Registro de Vehículos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/78
La base legitimadora que habilita a la DGT para el almacenamiento de los datos
personales asociados al vehículo está recogida en su Registro de Actividades de
Tratamiento conforme al RGPD- artículos 6.1.c) y 6.1.e). Esos datos personales fueron
recogidos en el momento de la matriculación del vehículo?
-información específica que se da al momento de recabar dicho consentimiento, (sin
mención a la existencia en la web de cláusulas generales de información de recogida de
datos).
Responde que ?los datos técnicos comunicados a través del Libro electrónico de
mantenimiento sobre la reparación y el mantenimiento del vehículo no requieren
consentimiento. Desde DGT no se conoce si los talleres están recabando información que
requiera el consentimiento para otra finalidad distinta a la comunicación de datos técnicos
al Registro de Vehículos.?
- (aporten copia de cinco autorizaciones o consentimientos para el tratamiento de
datos que hayan obtenido mediante los talleres, por parte de los titulares de vehículos que
los llevaron a reparar/mantener.)
Reitera la respuesta anterior.
b) Fecha exacta en que se producen los primeros volcados en la sección de LTE del RV
(datos más antiguos) y fecha del último ingreso en el LTE-RV. Número de talleres
asociados al sistema en la actualidad. Numero de registros dados de alta, enviados por
talleres asociados al LTE en lo que se lleva del año 2023, detallando que se considera con
número de registros (matrícula del vehículo que se repara, etc.).
Respondió que los datos más antiguos son los de las pruebas del proyecto, de 9/03/2015,
arrancando más tarde de manera voluntaria para los talleres a lo largo de 2018. El LTE
sigue recibiendo anotaciones, y la más reciente es de 3/10/2023, fecha en que se realiza
esta respuesta.
Manifiesta que ?En la actualidad no hay talleres integrados directamente en nuestra
herramienta, sino que son asociaciones o empresas las que están integradas en el Libro
electrónico de mantenimiento, y sus talleres envían la información a través de la
asociación o empresa a la que pertenecen. En la actualidad hay 5 asociaciones o
empresas integradas que pueden enviar anotaciones. A fecha de hoy, alrededor de 15.000
talleres diferentes han comunicado anotaciones a través de Libro electrónico de
mantenimiento al Registro de vehículos, utilizando las plataformas de las 5 empresas o
asociaciones integradas en IDEX-TALLER, debido al alto coste de la integración.?
Durante el año 2023, y hasta 3/10/2023, ?hemos recibido 17.007 solicitudes de anotación
(se ha anotado información en 17.007 vehículos), lo que se traduce en 25.770 operaciones
(algunos vehículos se les anota en una misma anotación varias operaciones realizadas).
c) Confirme que en el uso de la plataforma por los talleres asociados al sistema LTE, en
la plataforma que lo utilizan, en el menú ?buscar reparaciones?, se ha de hacer
indefectiblemente con los dos datos juntos, no uno solo, de matrícula y bastidor (¿o solo
con la matrícula, también arrojaría resultados?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/78
Respondió, que ?Cada asociación que se integra en LTE como CETRAA ha desarrollado
una herramienta interna diferente para ofrecerla a los talleres. El libro electrónico de
mantenimiento es una herramienta Web Service que comunica una máquina con otra, no
tiene un frontal web que los talleres puedan utilizar. Este es el motivo de que los talleres no
utilicen directamente una herramienta de la DGT para informar los datos del LTE, sino que
utilizan una herramienta que ellos mismos han desarrollado. Las consultas al LTE se
hacen a través del dato de la matrícula del vehículo, no es necesario utilizar otro dato para
visualizar los datos que constan en DGT en el Libro electrónico de mantenimiento, pero
solamente se visualizan esos datos, ningún otro dato del Registro de Vehículos es
accesible para los talleres (y menos aún datos de carácter personal).?
d) Para el uso del sistema LTE, la DGT manifestó que los talleres han de tener instalada
la integración informática IDEX TALLER. A tales efectos, se solicita que informen si se ha
dado esta integración a la CETRAA, y dentro de esta, en la plataforma de su web, sus
talleres asociados solo proceden al registro con usuario -contraseña, y pueden hacer uso
directamente introducir ya datos. O bien, cada taller, aunque pertenezca a CETRAA, debe
obtener la citada integración IDEX y aparte registrarse en la plataforma.
Además de esta plataforma de CETRAA, se solicita que informen si el alta del taller
(usuario y contraseña) para operar en el sistema se puede realizar por algún otro medio.
Respondió que ?IDEX es la herramienta Web Service (máquina-máquina) que comunica
los sistemas informáticos de la DGT con los sistemas informáticos de la asociación o
empresa que se haya integrado en IDEX. Los talleres no interactúan directamente con
IDEX, sino que acceden a la herramienta interna, por ejemplo, la que haya desarrollado
CETRAA, y será la herramienta interna de CETRAA la que recopila los datos que informa
el taller, y los envía a la DGT. La herramienta interna que utiliza CETRAA, habrá
establecido las medidas de seguridad que corresponda para garantizar que sólo los
usuarios autorizados puedan entrar en su herramienta interna. La herramienta IDEX es
pública y accesible directamente para todos los talleres que manifiesten interés y acrediten
ejercer dicha actividad, sin embargo, hasta el momento ningún taller se ha integrado con
IDEX directamente, sino que han sido las asociaciones o empresas del sector las que se
han integrado. El usuario y contraseña al que se hace mención se refiere al usuario y
contraseña específico de la herramienta interna de CETRAA de manera que por parte de
la DGT no gestionamos ni concedemos usuarios y contraseñas.?
e) Manifestaron que el taller ha de presentar el IAE. Se solicita que informe en qué fase o
momento se le solicita y escrito en el que se aprecie la forma y modo en que se le solicita
que sea aportado. Copia de tres ejemplares de tres talleres que lo hubieran aportado. En
relación con ello, además, la CETRAA manifestó que en la plataforma de su web
https://librotaller.com/: se ha de introducir para observar que el taller esté habilitado, el
número de inscripción en el registro industrial del taller. Explique porque son distintos los
requisitos dependiendo de la entidad, y aporte copia de tres inscripciones en registro
industrial recibidos por esta plataforma de CETRAA.
Respondió que: ?como ningún taller se ha integrado directamente con IDEX, no hemos
tenido que pedir nunca el IAE a un taller. En el caso de las asociaciones y empresas del
sector, que se han integrado en IDEX, son empresas y asociaciones que notoria y
públicamente se dedican a las actividades relacionadas con el mantenimiento de vehículos
y servicios asociados a los talleres?,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/78
En el caso de los talleres que mandan información al LTE a través de su asociación,
corresponde a la asociación o empresa que se ha integrado en el WS de IDEX identificar a
los usuarios talleres que van a utilizar su herramienta interna.?
-Sobre la entidad autorizada en el LTE, CEINOR SOFT S.L, CIF, CIF: B39574231 - se le
solicita que aporte copia del Número de inscripción en el Registro Industrial, que tuvo que
aportar, necesario para darse de alta como taller autorizado e indique, aportando copia al
menos cinco vehículos con registros en el LTE proporcionados por dicha entidad.
Respondió que ?No consta que este taller haya enviado ninguna anotación al Libro electrónico
de mantenimiento, ni a través de CETRAA ni a través de cualquiera de los otros usuarios
integrados en el WS de IDEX?.
-En su indicación de talleres autorizados en el LTE dieron los datos de A28586550 - AUDATEX
ESPAÑA S.A, así como matrículas de vehículos anotadas con el apartado Incidencia
taller, de anotaciones de 2015 o 2017, por ejemplo, (?) o (?. Se le solicita copia de datos
proporcionados en su alta en el sistema, fechas, si continua de alta, y copia del Número de
inscripción en el Registro Industrial.
Respondió que:? AUDATEX ESPAÑA S.A. es una de las empresas que se ha integrado en
el WS de IDEX. En las reuniones de integración de esta empresa en el WS se le requirió
únicamente su CIF y razón social para darle autorización a utilizar IDEX, pero no se requirió
documentación adicional. AUDATEX ya no está utilizando el libro electrónico de mantenimiento
, sólo participó en las pruebas iniciales del sistema. Hasta 27/02/2017.?
-La DGT proporcionó como datos anotados en el LTE de las matrículas: (...) y (?) por la
empresa CIF: (...) - ***EMPRESA.8, se solicita que aporte los datos que proporcionó para
el alta en el mismo, fecha, medio en el que lo hizo y copia del Número de inscripción en el
Registro Industrial.
Respondió que ?***EMPRESA.8 es una de las empresas que se ha integrado en el WS de
IDEX. En las reuniones de integración de esta empresa en el WS se le requirió únicamente
su CIF y razón social para darle autorización a utilizar IDEX, pero no se requirió
documentación adicional. Las anotaciones que realiza esta empresa no se hacen como
taller, sino como empresa de renting que comunica lecturas voluntarias del kilometraje. El
libro electrónico de mantenimiento es una herramienta que permite conocer en profundidad
la vida real de los vehículos, por ese motivo, empresas del sector de automoción que
gestionan grandes flotas de vehículos, pueden integrarse no informando reparaciones o
mantenimientos de sus vehículos, sino lecturas de kilometraje para la lucha contra el
fraude en la manipulación de cuentakilómetros. Las primeras anotaciones que envió a
Libro electrónico de mantenimiento datan de 13/08/2020. El servicio de anotación de
kilometraje a través de IDEX-TALLER de empresas de Renting no implica comunicación de
datos personales, sino lecturas de kilometraje de sus propios vehículos. Por lo tanto, no
aplicaría el Reglamento General de Protección de Datos puesto que se trata de personas
jurídicas.?
-En la lista de talleres autorizados para el sistema LTE con el CIF (...), ***EMPRESA.7, se
solicita la fecha de alta y si sigue.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/78
Respondió que ?La fecha de primera anotación recibida desde CETRAA vinculada a este
taller fue el 17/09/2020 y la fecha de última anotación fue 07/09/2023.?
f) ¿Por qué ni en su web, ni en la de CETRAA, sobre el funcionamiento del LTE, se indica
que el titular del vehículo ha de otorgar el consentimiento informado al tratamiento de datos
de la reparación de su vehículo para ser incluido en el LTE?, ¿o que es con carácter
voluntario, así como sus consecuencias si se diera el consentimiento? (formar parte del
REGISTRO DE VEHÍCULOS, al que pueden acceder ciudadanos con interés legítimo).
Respondió de nuevo que: ?Los datos personales que se consultan a través del Libro
electrónico de mantenimiento (por matrícula o por bastidor) para hacer actualización de los
datos técnicos del vehículo ya constan en el Registro de Vehículos y por lo tanto no es
necesario recabar el consentimiento de los interesados para la comunicación de los datos
de mantenimiento o reparación al Registro de Vehículos. La base legitimadora que habilita
a la DGT para el almacenamiento de los datos personales asociados al vehículo está
recogida en su Registro de Actividades de Tratamiento conforme al RGPD- artículos 6.1 c)
y 6.1.e). Esos datos personales fueron recogidos en el momento de la matriculación del
vehículo. El consentimiento referenciado es el solicitado por los talleres asociados para
comunicar datos técnicos al libro electrónico de mantenimiento, que no se corresponde
con el indicado en el artículo 6.1.a) del RGPD al no tratarse de datos de carácter personal.
Añadió que ?En el apartado de preguntas frecuentes se informa lo siguiente: ¿Es
obligatorio para los talleres colaborar en el proyecto? Por el momento la incorporación de
los talleres al proyecto de libro electrónico de mantenimiento es voluntaria, y por ese
motivo se incentiva a los talleres a su participación ofreciendo servicios como el acceso al
registro de vehículos para la anotación de reparaciones o mantenimientos.?
g)La DGT y también los talleres han manifestado que el taller cuando se le presenta el
cliente y antes de dar consentimiento alguno sobre cesión de reparación, si la hubiera,
puede con solo ver la matrícula acceder al RV, y en general conociendo una matrícula
puede entrar y visionar sus datos. Confirme si esto es posible, y si el acceso que tendría
abarcaría todo el RG completo de ese vehículo. También informen si cualquier taller
asociado al sistema podría visionar el apartado libro taller de cualquier vehículo que tuviera
anotaciones de reparaciones-mantenimiento, aunque no se hubieran realizado en el
mismo. Finalmente, si a la DGT le queda constancia, le queda registro de lo que cada taller
visiona en el registro de vehículos, o de su mera consulta.
Respondió que ?El acceso que se ha facilitado a los talleres únicamente facilita datos
técnicos del historial del libro electrónico de mantenimiento, así como la fecha de
caducidad de la ITV, no acceden a ningún otro dato, y mucho menos a datos de carácter
personal que están guardados en el registro de Vehículos. Introduciendo la matrícula
pueden consultar el libro electrónico de mantenimiento de cualquier vehículo matriculado
en España, con independencia de si ese taller realizó los mantenimientos o fue otro. Todos
los accesos al registro de vehículos se realizan a través de medios electrónicos y tenemos
trazabilidad de todas las consultas realizadas y quién las ha realizado. El acceso del
registro de vehículos se autoriza para favorecer y facilitar el correcto mantenimiento de los
vehículos a los talleres que han sido contratados para tal fin, en ningún momento se ha
indicado específicamente por parte de la DGT que los accesos se puedan hacer antes de
que el interesado haya contratado los servicios al taller y por lo tanto haya firmado la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/78
documentación correspondiente. La consulta al libro electrónico de mantenimiento por
parte de los talleres debe utilizarse con el fin de que el taller pueda conocer el
mantenimiento que ha recibido ese coche, y en consecuencia pueda planificar mejor las
intervenciones que debe realizar sobre el vehículo. Por ejemplo, cuando se cambió por
última vez el filtro del aceite, para saber si corresponde o no cambiar el filtro del aceite.?
h) Manifestó que la base legitimadora para el tratamiento de datos en cuanto a los talleres
era por interés público, relacionado con la Seguridad Vial. En tal sentido, deberá
especificar:
- ¿en qué aspecto se concreta la necesidad de dicho tratamiento y las garantías sobre los
titulares de los datos, cuando de hecho se circunscribe solo a los talleres voluntarios que
consideren asociarse al sistema?
Respondió que: ?Poder consultar el historial de mantenimiento y reparaciones aporta
transparencia al mercado de compraventa de vehículos y fomenta el correcto
mantenimiento de los vehículos. Cuanta más información esté disponible sobre el
mantenimiento de un vehículo más fácil será por parte de un posible comprador conocer y
evaluar el estado real de un vehículo y evitar fraudes. Los datos personales que se
consultan a través del Libro electrónico de mantenimiento (por matrícula o por bastidor)
para hacer actualización de los datos técnicos del vehículo ya constan en el Registro de
Vehículos y por lo tanto no es necesario recabar el consentimiento de los interesados para
la comunicación de los datos de mantenimiento o reparación al Registro de Vehículos. La
base legitimadora que habilita a la DGT para el almacenamiento de los datos personales
asociados al vehículo está recogida en su Registro de Actividades de Tratamiento
conforme al RGPD- artículos 6.1 c) y 6.1.e). Esos datos personales fueron recogidos en el
momento de la matriculación del vehículo. La base legitimadora para el tratamiento de los
datos personales de sus clientes por parte de los talleres será la que éstos refieran
(consentimiento o contractual), de acuerdo a la relación que hayan establecido con ellos.?
-Asimismo, expresaron que la base legitimadora del tratamiento de datos de los titulares de
los vehículos que los reparan o conservan en el taller, es el consentimiento, y que el taller
recaba ese consentimiento. A estos efectos, siendo la DGT la responsable de estos
tratamientos, aporten el modo de informar que llevan a efecto sobre estos tratamientos a
estos titulares en los momentos en los que se les recaban los datos. Si hubiera algún
Convenio suscrito con CETRAA, aporten copia del mismo.
Respondió que ?El consentimiento de anotación de las reparaciones del vehículo al
registro de vehículos en ningún caso hace referencia a datos de carácter personal, sino a
la comunicación de la reparación, (cambio de frenos, cambio de neumáticos?) y por lo
tanto entendemos que no hace falta comunicación entre la DGT y el ciudadano ya que no
se han comunicado datos de carácter personal. Desde DGT no se conoce si los talleres
están recabando información que requiera el consentimiento para otra finalidad distinta a la
comunicación de datos técnicos al Registro de Vehículos. El consentimiento recabado en
el taller hace referencia a la comunicación de los datos técnicos al Registro de Vehículos,
en ningún caso, se refiere al consentimiento relativo a la comunicación de datos
personales recogido en el RGPD. La base legitimadora que habilita a la DGT para el
almacenamiento de los datos personales asociados al vehículo está recogida en su
Registro de Actividades de Tratamiento conforme al RGPD- artículos 6.1 c) y 6.1.e). Esos
datos personales fueron recogidos en el momento de la matriculación del vehículo.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/78
- ¿Como se implementa esta base legitimadora de la misión de interés público y el
consentimiento de los titulares en el registro de actividades de tratamiento, en concreto en
el REGISTRO DE VEHÍCULOS?
Respondió que ?Los datos que se comunican al Registro de Vehículos son datos
referentes a la reparación de ciertas partes del vehículo. En ningún caso se solicita
información de carácter personal para el cual se deba requiera el consentimiento de
tratamiento de datos personales. La anotación no se realiza sobre el titular del vehículo,
sino sobre el expediente del vehículo. La base legitimadora que habilita a la DGT para el
almacenamiento de los datos personales asociados al vehículo está recogida en su
Registro de Actividades de Tratamiento conforme al RGPD- artículos 6.1 c) y 6.1.e). Esos
datos personales fueron recogidos en el momento de la matriculación del vehículo.?
i) Copia de las instrucciones a CETRAA o a los talleres, y donde se ponía esta
información para instar la baja en el sistema de LTE por los talleres. Número de bajas
solicitadas desde su implantación. Si la DGT preveía en el sistema la baja automática por
no uso del sistema en un tiempo específico.
Respondió que ?Alta informática por parte de la Dirección General de Tráfico. Las
siguientes webs recogen documentación relativa a requisitos y datos necesarios para
darse de alta: https://sede.dgt.gob.es/es/vehículos/libro-taller/ y https://librotaller.com/?
?No existe un procedimiento formal para que los talleres se den de baja del libro
electrónico de mantenimiento, como es una comunicación voluntaria, en el momento que
no estén interesados en seguir comunicando datos, simplemente dejarán de enviar las
reparaciones a la DGT. La baja por inactividad no se contempla ya que un taller asociado
puede no realizar anotaciones de forma regular y la anotación puede realizarse a petición
de un titular del vehículo bajo demanda en cualquier momento a futuro.?
j) En las anotaciones en el LTE, existe un taller autorizado que es el que puede usar la
plataforma, y dentro de ella, la pueden utilizar distintas sucursales o anotadores, que
identifican con números DOI y que es quien firma la comunicación.
- ¿Qué significan las siglas DOI, si son CIF, si pueden ser NIF?
Respondió que DOI, es el Documento original de identificación, pudiendo ser DNI, CIF o
NIF en función del titular del vehículo o empresa.
?Las comunicaciones al libro registro son firmadas digitalmente por la asociación o
empresa que se ha integrado en IDEX Libro electrónico de mantenimiento, y dentro de esa
comunicación, se identifica no sólo la asociación que remite el dato, sino el taller que ha
realizado la reparación o mantenimiento sobre el vehículo. En Sede Electrónica de la DGT
donde se específica la funcionalidad y objeto del Libro electrónico de mantenimiento, se
puede acceder a un Wellcomepack de IDEX-TALLER, donde, en el Manual de Artefacto,
se facilita toda la información sobre los datos intercambiados, incluyendo lo relativo al
DOI.?
- ¿Sí estos anotadores acceden a la plataforma con la clave usuario/contraseña del taller
autorizado?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/78
Respondió que: ?En el caso de CETRAA, facilita la plataforma de comunicación de los
talleres hacía DGT, hace de interfaz entre ambos. Por lo que directamente con DGT se
comunica CETRAA identificando al taller que ha realizado la anotación y quedando traza
de todas las operaciones realizadas. Cada una de las empresas o asociaciones integradas
con el Libro electrónico de mantenimiento ha desarrollado su propia interfaz para conectar
con el servicio de IDEX, por lo que dependerá de cada una de ellas el tipo de acceso que
se requiera. En la comunicación a través de IDEX se valida la firma de CETRAA y se
recibe el DOI del taller asociado que realiza las anotaciones.?
-Entre las empresas asociadas al LTE figura la CETRAA que no es un taller en sí, y
constan registros en el LTE con dicho CIF, sin embargo, aparece DOI anotador otro
número, que puede ser otro CIF. Se le solicita que informe a quien o a que corresponde
ese otro número DOI. Y si en todos los casos de autorización a CETRAA ha de aparecer
una DOI del taller que usa el sistema.
Respondió que ?No todos los talleres cuentan con la capacidad suficiente para desarrollar
un sistema informático que permita la comunicación con el Registro de Vehículos de la
forma establecida por DGT. CETRAA ofrece su servicio como asociación a sus talleres
asociados facilitándoles el interfaz de comunicación con el Registro de vehículos.
CETRAA, en este caso ha desarrollado la herramienta tecnológica para anotar en el
Registro de Vehículos (LTE). Para ello, se identifica con su certificado digital, y dentro de la
anotación, identifica al taller asociado (a través del DOI anotador) que realiza la anotación
quedando total trazabilidad de la anotación.?
-Informe igualmente, como se proporciona la plataforma para ingresar los datos al LTE a
talleres que no están asociados a la CETRAA.
Respondió que ?Los talleres que quieran darse de alta en el libro electrónico de
mantenimiento deben presentar el IAE en donde se especifique que realizan la actividad
laboral relacionada con la reparación de vehículos. Las siguientes webs recogen
documentación relativa a requisitos y datos necesarios para darse de alta:
https://sede.dgt.gob.es/es/vehículos/libro-taller/ y https://librotaller.com/ Los talleres que no
pertenecen a CETRAA, o incluso perteneciendo, están interesados en integrase
directamente en la herramienta Web Service de la DGT (IDEX LIBRO TALLER), están
perfectamente capacitados y autorizados por la DGT para llevar a cabo esa integración. La
DGT no obliga a utilizar ningún intermediario, sino que pueden integrarse directamente los
talleres si esa es su voluntad. Hasta ahora no hay ningún taller, a título propio, integrado
en la comunicación de las reparaciones y mantenimientos a través de IDEX-TALLER
debido al alto coste del desarrollo de la interfaz de integración. Todos los talleres que
realizan anotaciones lo hacen a través de las cinco empresas o asociaciones que han
desarrollado la interfaz de integración.?
k) A DGT, si conociendo nombre y apellidos y NIF de una persona, o solo este último, se
puede solicitar y obtener en su caso, datos de vehículos inscritos en el Registro de
vehículos, y sí lo podría pedir y obtener cualquier persona.
Respondió que ?No se puede obtener información de los vehículos inscritos en el Registro
de Vehículos a través de Nombre y Apellidos y NIF de una empresa o ciudadano. Solo se
puede acceder al informe de un vehículo a través de la matrícula o bastidor. Sólo se puede
acceder a los datos técnicos del vehículo, vía Libro electrónico de mantenimiento, si estás
integrado con IDEX-TALLER. Es decir, no cualquier persona puede acceder a estos datos,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/78
ni siquiera un taller no integrado con la herramienta. Los talleres, a través de la
herramienta de consulta del Libro electrónico de mantenimiento, no tienen acceso a
ninguno de estos informes, ni pueden consultar por CIF/NIF, nombre y apellidos o razón
social de la empresa. Sólo pueden consultar vehículo a vehículo, por matrícula o bastidor.?
l) Finalmente, Informen que papel jugó el DPD de la DGT en la implantación, modificación
o revisión y actualización del sistema libro taller.
Respondió que ?El delegado de Protección de Datos no participó en la implantación del
sistema libro taller en 2018, ya que los datos, tanto de entrada como de consulta y anotación
del vehículo no se consideran datos de carácter personal. ?, reiterando que: ?El taller
solo tiene acceso a información técnica relativa a las reparaciones y mantenimientos realizadas.?
SEXTO:
Con fecha 5/11/2023, se emitió propuesta de resolución, del tenor:
? PRIMERO: Que por la directora de la Agencia Española de Protección de Datos
se sancione a la DIRECCIÓN GENERAL DE TRÁFICO, con NIF Q2816003D, con
apercibimiento por cada una de las siguientes infracciones del RGPD, artículos:
- 6.1, del RGPD, de conformidad con el artículo 83.5 a) del RGPD y a efectos de
prescripción de la infracción calificada como muy grave en el artículo 72.1.b) de la
LOPDGDD.
- 25, del RGPD, de conformidad con el artículo 83.4 a) del RGPD y a efectos de
prescripción de la infracción calificada como grave en el artículo 73.d) de la LOPDGDD.
- 32, del RGPD, de conformidad con el artículo 83.4 a) del RGPD y a efectos de
prescripción de la infracción calificada como grave en el artículo 73.f) de la LOPDGDD.
- 30, del RGPD, de conformidad con el artículo 83.4 a) del RGPD, y a efectos de
prescripción de la infracción calificada como leve en el artículo 74.l) de la LOPDGDD.
SEGUNDO: Que por la directora de la Agencia Española de Protección de Datos
se ordene a la DIRECCIÓN GENERAL DE TRÁFICO, con NIF Q2816003D, que en virtud
del artículo 58.2.d y f) del RGPD, en el plazo que se determine se adecue la DGT a las
medidas señaladas en el último fundamento de derecho.?
SÉPTIMO:
La reclamada presentó alegaciones el 20/11/2023, manifestando:
1)Incorrecta interpretación de que los datos concernientes a las
reparaciones/mantenimiento sobre los vehículos sean considerados datos de carácter
personal, considerando que no lo son, siendo datos técnicos los que se tratan por el
sistema. Por tanto, se parte de una premisa errónea por lo que no cabe interpretación
alguna sobre licitud, seguridad o diseño del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/78
Reitera que una vez que el taller ha inscrito los datos en el LTE, la información tratada en
el sistema relativa a piezas, kilometraje, o el historial de revisiones del vehículo, no supone
?en ningún caso? información sobre una persona física. Defiende que cualquier
mantenimiento o reparación de un vehículo que se incluya en el LTE, hace referencia a las
condiciones técnicas del vehículo, afectando a sus elementos de seguridad y a las
condiciones de seguridad vial, de conformidad a lo que establece el artículo 11 del RGV.
?Afirmar que dichas reparaciones sobre elementos de seguridad no constituyen datos
técnicos, no se considera cierto y contraviene lo dispuesto en el RGV?. Dichos datos, por si
solos, ni sumados a otros podrían identificar a ninguna persona física.
2) Además de no considerar en la propuesta la base de legitimación alegada del artículo
6.1.e) del RGPD, se ha vulnerado el principio de tipicidad en la infracción imputada del
artículo 6.1 del RGPD. Deriva la concurrencia de ?un interés público en el tratamiento de
los datos referentes a las reparaciones, mantenimiento y kilometraje que constan en el RV,
en la conformidad con el artículo 2.1 del RGV:
?La Jefatura Central de Tráfico llevará un Registro de todos los vehículos matriculados, que
adoptará para su funcionamiento medios informáticos y en el que figurarán, al menos, los
datos que deben ser consignados obligatoriamente en el permiso o licencia de circulación,
así como cuantas vicisitudes sufran posteriormente aquéllos o su titularidad.
Estará encaminado preferentemente a la identificación del titular del vehículo, al conocimiento
de las características técnicas del mismo y de su aptitud para circular, a la comprobación
de las inspecciones realizadas, de tener concertado el seguro obligatorio de automóviles
y del cumplimiento de otras obligaciones legales, a la constatación del Parque de
Vehículos y su distribución, y a otros fines estadísticos.?.
No se muestra de acuerdo con lo indicado en la propuesta, al considerar que las
reparaciones y mantenimientos de los vehículos que llevan a cabo los propietarios de los
mismos, en los talleres asociados al sistema, no se consideren como comprendidas en el
ámbito del RV, pues responden a las ?vicisitudes que sufran posteriormente?. Estima que
sería relevante el conocimiento de esas reparaciones/mantenimiento para cualquier tercero
interesado en la adquisición del vehículo, peritación o valoración, por poner ejemplos de
terceros con interés legítimo, al margen de las revisiones obligatorias de la ITV, de dichas
reparaciones/ mantenimiento que se producen mientras tanto.
Manifiesta que también del literal del artículo, se puede entender que: ?estaría encaminado
preferentemente a la constatación de cierta información, entre la que se encuentra su
aptitud para circular?, considerando que, si bien no es obligatorio para todos los talleres, se
fomenta en aras del cumplimiento de la normativa reguladora del tráfico de vehículos a
motor y seguridad vial, para contribuir a reducir la siniestralidad que en muchas ocasiones
se debe a la falta de su correcto mantenimiento. La consideración en la propuesta de no
admitir que las vicisitudes técnicas del vehículo admiten la inscripción de las
reparaciones/mantenimiento del vehículo y forman parte de la legitimación del tratamiento
de los datos, supone la vulneración del principio de tipicidad por no quedar acreditada
conducta infractora.
3) Se muestra disconforme con la consideración que se hace en la propuesta de que los
talleres asociados al sistema puedan acceder a los datos de cualquier vehículo que se
configura como la infracción del artículo 32 del RGPD. Estima que los únicos datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/78
personales a los que accedería el taller serían la matrícula y el bastidor, datos que
proporciona su cliente, y con el cual ha firmado un contrato o consentimiento. Acompaña a
tal efecto una ampliación de alegaciones de la S.G. de Gestión de la Movilidad y
Tecnología ?que recoge todas las medidas de seguridad que garantizan el servicio LTE?
En este escrito, además de aludir a diversas medidas de seguridad, señala:
-El proyecto LTE se desarrolló en el año 2015, ?por lo que no estaba en vigor el RGPD?, y
?no se tuvo la oportunidad de aplicar el artículo 25 del citado RGPD.?
-Los talleres asociados al LTE se integran a través del sistema ATEX de la DGT al sistema
de consultas de datos historial de ITVs con perfil específico y limitado de Libro Taller.
Reitera que los talleres que consultan el RV quedan identificados cuando realizan todas las
operaciones y que ?solo podrán consultar los siguientes datos del RV: modelo, historial de
ITV e historial de reparaciones?.
4) En cuanto a la infracción del artículo 30 del RGPD, manifiesta que el cambio de término
en las versiones del RAT de ?descripción de tratamiento? a ?fines? realizado conforme al
nuevo modelo RAT del Ministerio de Interior, no vulnera el artículo 30 del RGPD, que,
además, contiene una información mínima exigible, estando el LTE incluido en el
tratamiento de datos del RV, y ?no es necesario incluir tanto nivel de detalle?. Se ha tomado
como modelo el RAT el de la AEPD. Consideran desproporcionada la sanción.
5) Solicita copia del expediente que le es enviado. Manifiesta que no se indica claramente
la forma en que se inició el procedimiento sancionador. Mientras que en el hecho primero
del acuerdo de inicio parece que se inicia a raíz de una consulta planteada por un tercero,
sin embargo, en el mismo acuerdo de inicio, en el SE ACUERDA TERCERO, se indica:
?INCORPORAR al expediente sancionador, a efectos probatorios, la reclamación interpuesta
por la parte reclamante y su documentación, así como los documentos obtenidos y
generados por la Subdirección General de Inspección de Datos en las actuaciones previas
al inicio del presente procedimiento sancionador.?
6)Solicita la suspensión cautelar de la ejecutividad de la sanción apoyándose en el
artículo 90.3 de la LPACAP, y afectar irreparablemente a la reputación de la entidad.
Añade, que en caso de dictarse resolución sancionadora firme se procederá a interponer
recurso contencioso administrativo.
OCTAVO:
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
1) De acuerdo con la información de la web de la DGT, a la que se accedió en actuaciones
previas el 23/06/2022, el proyecto llamado libro digital de mantenimiento o libro de taller
electrónico, LTE, promovido por la Jefatura Central de Tráfico (MINISTERIO DE
INTERIOR) es un servicio que permite a los talleres que voluntariamente se asocian al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/78
sistema del LTE, anotar y enviar las revisiones, kilometraje, reformas, reparaciones y
mantenimiento realizadas en los vehículos que les hayan sido confiados por sus
propietarios a través de una aplicación informática a la DGT. De acuerdo con la información
de la DGT, puede cumplir fines de reducción del fraude en la venta de vehículos de
segunda mano, otorgándole más capacidad de elección y selección al comprador, y
relaciona el deficiente o incorrecto mantenimiento del vehículo con la seguridad vial o el
trucaje del cuentakilómetros.
2)Teniendo en cuenta que no todos los talleres están asociados al sistema de LTE, dado
que es voluntaria, de la información que proporciona la DGT en su web, se desprende que
de los datos de los vehículos que se reparan/mantienen dentro del proyecto LTE (los
llevados a cabo por los talleres asociados) se almacenan en su ?Registro de vehículos?, y
se puede obtener de la DGT un informe completo específico del REGISTRO DE
VEHÍCULOS por 8,67 euros, apareciendo dichos datos, en un apartado concreto llamado
?libro taller?, siempre que haya información registrada, que depende pues, de si los talleres
donde se lleva el vehículo están asociados o no. La DGT recomienda a los compradores
de vehículos este informe completo, que además del LIBRO TALLER, ofrece más datos
que el informe reducido que es gratuito.
El Registro de vehículos, y los informes sobre el mismo que se emiten con sus datos es
público para los interesados y terceros que tengan interés legítimo y directo.
La DGT aportó el 2/06/2022, en actuaciones previas, copias de informes de vehículos,
extraídos de su ?Registro de vehículos?, en los que se puede apreciar uno de los que se
han registrado las anotaciones por los talleres del LTE, figurando, además de los datos
que, con carácter general se concretan en la identificación del vehículo, los datos del titular
o la información técnica, un apartado diferenciado denominado ?LIBRO TALLER? que
contenía distintas fechas referidas a las revisiones o cambios de piezas llevados a cabo en
el vehículo y los kms. a los que se realizó cada una. Asimismo, en actuaciones de
inspección se accedió a la web de la DGT y se obtuvo impresión del resultado de la
consulta realizada en la página.
Web https://sede.dgt.gob.es/es/vehículos/informe-devehículo/index.shtml (con información
sobre las diferentes modalidades de informes de la Dirección General de Tráfico) y se
señala que en el informe completo también se contiene información sobre el
mantenimiento del vehículo solicitado, y que esta materia se regula en el Reglamento
General de Vehículos
Existe un apartado de ?¿cómo interpretar los informes?, historial de lecturas del
cuentakilómetros?, y se indica que ?en esta sección se recopilan todas las lecturas del
cuentakilómetros que han sido reportadas a la DGT indicando la fecha de lectura y de
origen de la misma ya sea una estación de ITV, una declaración voluntaria del titular,
lecturas de talleres?La DGT no se hace responsable de la veracidad de las lecturas ya
que han sido facilitadas por entidades ajenas?. En este procedimiento también se evalúa la
anotación de los kilómetros en los informes del RV, procedente de la lectura de talleres
asociados al citado LTE.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/78
Se deduce que, si el titular lleva su vehículo a reparar a una entidad no asociada al
sistema, no aparecerá dato alguno de esa reparación en el registro de vehículos, sección
LIBRO TALLER.
3)Por su parte, en actuaciones previas se verificó que una de las asociaciones de talleres,
la CONFEDERACIÓN ESPAÑOLA DE TALLERES DE REPARACIÓN DE AUTOMÓVILES
Y AFÍNES-CETRAA-ofrece en su página web: librotaller.com, información de qué es el LTE:
?Una plataforma desarrollada por la Confederación Española de Talleres de Reparación de
Automóviles y Afines (CETRAA), en colaboración con la Dirección General de Tráfico
(DGT), que permite a todos los talleres españoles registrar en los servidores de la DGT las
acciones de mantenimiento y reparación realizadas sobre los elementos de seguridad del
vehículo?.
Reitera lo manifestado por la DGT sobre el destino de esos datos, que: ?Los datos
introducidos estarán disponibles en el Informe del Vehículo de la DGT al que cualquier
ciudadano puede acceder?, y que ? los talleres dados de alta en ?librotaller.com? podrán,
?no sólo introducir datos en la plataforma, sino consultar el historial de reparaciones de
cualquier vehículo mediante la introducción de un número de matrícula.?(historial de
mantenimiento digital de cualquier vehículo como ventaja para el taller asociado).
?Además, cuando los talleres consulten el registro de reparaciones de un vehículo a través
de ?librotaller.com?, también accederán al historial de Inspecciones Técnicas de Vehículos
(ITV), incluyendo tanto las de resultado favorable como aquellas que no se hayan
superado. Igualmente, se muestra otra información relevante, como el motivo de la
inspección o el kilometraje del vehículo.
Finaliza señalando que: ?Cualquier taller legalmente establecido puede darse de alta en
LibroTaller.com y acceder a la plataforma tras realizar un único pago de 20? en concepto
de gastos administrativos.?
4) De acuerdo con la información dada el 18/04/2022 en actuaciones previas por la
CETRAA, los talleres que deseen voluntariamente asociarse al sistema del LTE pueden
realizarla, cumplimentando en su plataforma de libro taller, un formulario de registro en el
que se recaban como datos: e mail, Nombre del usuario, Contraseña, Nombre del taller
que se registra, CIF/NIF del taller, DNI persona, Número de inscripción en el Registro
Industrial (la DGT señala que el IAE), Teléfono. También se ha de aceptar la casilla de
?Aviso legal y política de privacidad?. En su apartado de aviso legal, figura la información
que regula el uso del servicio del portal de internet www.cetraaa.com, web, de la CETRAA,
responsable de los datos tratados y en ?Finalidades?: el mantenimiento y gestión de la relación
con el Usuario, así como las labores de información. En el apartado titulado ?registro
de ficheros y formularios?, se indica que ?La cumplimentación del formulario de registro es
obligatoria para acceder y disfrutar de determinados servicios ofrecidos en la web?, sin que
se mencione aspecto alguno sobre el envío de datos a la DGT o sobre los datos que se recaben
del titular del vehículo en el seno del proyecto LTE. En el apartado ?cesión de datos
a terceros?, se indica que CETRAA no realizará cesión de datos a terceros.
CETRAA detalla que, una vez registrado el taller, puede introducir datos nuevos para su
envío, o buscar reparaciones. Para lo primero, se rellena la pantalla ?crear incidencia?
cumplimentando si se trata de reparación o mantenimiento, sigue el apartado de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/78
cumplimentar los datos de ?bastidor?, ?matrícula?, ?kms...?? importancia?, ?conceptos?, que
pueden ser por ejemplo ?dirección del vehículo?.
En la opción de: ?Buscar reparaciones?, figuran dos casillas separadas: ?matrícula? /?
bastidor? para introducir y dando a ?buscar?, ofrece las anotaciones realizadas con
anterioridad en el LTE, y que, según manifiesta CETRAA están ?registradas en la base de
datos de la DGT y en el historial de ITVS?. En el ejemplo que aporta se ven del mismo
vehículo, datos de fecha ITVs desde 2015 a 2021,? favorables?, o ?desfavorables?.
5)Según indicó la DGT, los datos que forman parte del libro electrónico de mantenimiento
o LTE, son: (anotación de reparaciones, mantenimiento y fechas de realización y
kilometraje a esa fecha), y los talleres añaden en actuaciones previas: ?revisiones,
siniestro total o siniestro parcial?. Estos datos, según la DGT se almacenan en el
tratamiento ?registro de vehículos?, siendo el responsable del tratamiento la DGT y su plazo
de conservación el coincidente con los del tratamiento del registro de vehículos, durante el
tiempo preciso para cumplir con la finalidad para la que se recabaron y determinar las
posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de
los datos
6)Según la DGT, las webs en las que se puede dar de alta los talleres en el libro taller son
https://sede.dgt.gob.es/es/vehículos/libro-taller/ y https://librotaller.com/-
Según informó la DGT en actuaciones previas, había SEIS asociaciones o empresas
integradas en el sistema LTE que enviaban anotaciones mediante sus plataformas al
registro de vehículos de la DGT, integradas en IDEX TALLER (acrónimo de Incorporación
de Datos de Entidades Externas). En pruebas la DGT señala que son CINCO las citadas
asociaciones o empresas ?que notoria y públicamente se dedican a las actividades relacionadas
con el mantenimiento de vehículos y servicios asociados a los talleres?.
En las citadas asociaciones o empresas se integran unos 15.000 talleres que han
comunicado anotaciones. Directa e individualmente, no existe actualmente ningún taller
integrado en el sistema IDEX TALLER. La DGT informó en pruebas que se continúan
registrando datos, en lo que se lleva de 2023, hasta el 3/10/2023, sobre 17.007 vehículos.
Manifestó la DGT sobre la tecnología de uso, que:
- el libro electrónico de mantenimiento ?es una herramienta Web Service que comunica
una máquina con otra. IDEX es la herramienta Web Service (máquina-máquina)
que comunica los sistemas informáticos de la DGT con los sistemas informáticos de la
asociación o empresa que se haya integrado en IDEX.
-Los talleres o asociaciones, en este caso solo hay asociaciones, ?se integran informáticamente
en dicho proyecto a través del servicio web tras el alta en la DGT, siendo
necesario ?tener instalado en el repositorio de confianza del servidor usado en la integración
la clave pública actualizada de nuestros certificados electrónicos de nuestros dominios? y de acuerdo al documento anexo (Manual incluido en Kit de welcome pack), que ?el
Web Service se publicará encriptado utilizando SSL y aplica el protocolo de comunicaciones
WS-Security (Seguridad en Servicios Web) que suministra un medio seguro con la
DGT para el uso del servicio?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/78
-En este caso, que no hay talleres asociados al sistema, sino asociaciones, la
DGT señaló que: ?Los talleres no interactúan directamente con IDEX, sino que acceden a
la herramienta interna, por ejemplo, la que haya desarrollado CETRAA, y será la herramienta
interna de CETRAA la que recopila los datos que informa el taller, y los envía a la
DGT.?
-La herramienta IDEX es pública y accesible directamente para todos los talleres
que manifiesten interés y acrediten ejercer dicha actividad, sin embargo, hasta el momento
ningún taller se ha integrado con IDEX directamente, sino que han sido las asociaciones o
empresas del sector las que se han integrado. El usuario y contraseña al que se hace
mención se refiere al usuario y contraseña específico de la herramienta interna de
CETRAA de manera que la DGT manifestó que no gestiona ni concede usuarios y
contraseñas.
-Manifestó la DGT que la herramienta interna que utiliza CETRAA, habrá establecido
las medidas de seguridad que corresponda para garantizar que sólo los usuarios
autorizados puedan entrar en su herramienta interna.
-Manifestó la DGT que el sistema informático de anotación de datos que los
talleres envían a la DGT (registro de vehículos) es diario y que se envían juntos los datos
de reparación y mantenimiento, en su caso, fecha de realización y el kilometraje a esa
fecha.
La página web de la DGT ofrece información sobre los talleres asociados a la plataforma
LTE, si bien no se garantiza su actualización porque algunos no usan el sistema ya o no lo
han usado nunca.
Se observa que una de las asociaciones de las CINCO, ni siquiera es un taller, ***EMPRESA.8
, sino una empresa de renting de vehículos y proporciona los datos de kilometrajes de
sus vehículos, si bien por su titularidad de persona jurídica considera la DGT que no aplica
el RGPD.
La DGT aportó en actuaciones previas, copia del ?Manual incorporación datos taller-DGT,
(artefacto incorporación de datos de entidades externas, IDEX-TALLER) de Gerencia de
informatica, última modificación 27/05/2014, que tiene como objetivo describir la interfaz
para la incorporación de información relativa a reparaciones y otras actuaciones de
importancia de vehículos (TALLER) a la DGT, enviándose la información a través de un
servicio web.
7)Por su parte, la DGT informó en actuaciones previas el 2/06/2022, que el LTE es ?un
elemento de seguridad pasiva, en base al interés público, la DGT puede solicitar a los
talleres adheridos que le cedan los datos anteriormente indicados (bastidor, matrícula y
reparaciones o mantenimientos). El taller solo podrá ceder aquellos datos cuando el
usuario lo haya autorizado expresamente (normalmente marcando una casilla en la orden
de trabajo). En resumen, el taller cede los datos en base al consentimiento expreso del
interesado, mientras que la DGT los solicita en base al interés público.? Pese a ello, en las
mismas actuaciones previas, ante la cuestión de que identificara y acreditara la suscripción
de contrato o cualquier acto jurídico de encargo de tratamiento de los datos gestionados en
el LTE, conforme a lo establecido en el artículo 28 del RGPD, no aportó copia de contrato
alguno, manifestando que el taller solo accede a información técnica de ?modificaciones
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/78
realizadas, estando su acceso limitado a las matrículas que los clientes les indican, existiendo
un contrato entre el taller y el cliente?.
Ante la petición en pruebas a la DGT de un contrato o acto jurídico que habilitara la
recogida de datos en nombre de la DGT de las personas que llevan a los talleres sus
vehículos para mantenerlo o repararlo, y de los datos que se llevan en el libro taller, y luego
pasan al ?registro de vehículos?, la DGT reiteró que ?el taller solo accede a información
técnica relativa a modificaciones realizadas, limitándose a las matrículas que los clientes
les indican, existiendo un contrato entre taller y cliente.?
También afirmó, que los talleres no acceden a ningún dato de carácter personal recogido
en el Registro General de vehículos a través del libro taller, añadiendo después que ?el
taller solo podrá ceder aquellos datos cuando el usuario lo haya autorizado (normalmente
marcando una casilla en la orden de trabajo)?.
La DGT ha manifestado que los talleres asociados al sistema en el desarrollo de sus
funciones del sistema de la DGT pueden acceder a datos del RV y de inspecciones
técnicas de vehículos que figuran en el mismo. Los talleres asociados al sistema pueden
comprobar las reparaciones y mantenimientos de cualquier vehículo, hubiera sido o no
reparado en el mismo taller. El sistema está configurado para acceder solo con número de
matrícula o bastidor, por lo que conociendo cualquiera de estos datos cualquier taller
puede ver tanto las operaciones de mantenimiento o reparaciones realizadas por ellos o
por otros talleres, o si no figura dato alguno, porque no tenga historial de reparaciones
previos, así como las ITVS que hayan pasado los vehículos, con sus resultados.
Algunos talleres también añadieron que: ?Los datos facilitados a DGT no tienen carácter de
dato personal, ya que tanto la matrícula como bastidor son datos conocidos por la DGT, de
hecho, DGT es el gestor designado de esos datos. Simplemente, se usan esos datos
como identificadores para comunicar la intervención efectuada sobre el vehículo, que en
ningún caso son datos de carácter personal.?
8)En el Registro de actividades de tratamiento (RAT) de la DGT: ?Registro de vehículos?
actualizado a 29/06/2022, figura:
?descripción del tratamiento? Registro de titulares de vehículos, arrendatarios a largo plazo
y conductores habituales,
?categorías de interesados? Personas físicas y jurídicas titulares/arrendatarios/conductores
habituales/poseedores de vehículos,
?descripción categorías datos personales? nombres y apellidos, dirección, matrícula,
bastidor?
?cesión de datos?, entre otras, figura a ciudadanos con interés legítimo. No figuran los
talleres de reparación/mantenimiento o sus Asociaciones.
?base legitimación: Tratamiento necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento, art. 6.1.c) del RGPD, citando la LSV y el RGV
entre otras, y ?Tratamiento necesario para el cumplimiento de una misión realizada en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/78
interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento, art 6.1.e) del RGPD?.
En la versión extraída en pruebas, versión 27/09/2023 ya no figura ?descripción del tratamiento?, sino ?Fines: Gestión de los datos personales asociados a las matrículas de
vehículos registrados?.
9)La DGT no informa a la persona titular del vehículo del tratamiento de datos personales
que se lleva a cabo con el proyecto LTE en el que los talleres asociados envían los datos
de la reparación/mantenimiento (siniestro total, siniestro parcial) /kilometraje, a la DGT
(registro de vehículos).
Ni en la información que proporciona la DGT en su web sobre el LTE, ni la que se contiene
en la de CETRAA, se indica aspecto alguno sobre las obligaciones, o los derechos de los
titulares de los vehículos que acuden al taller en cuanto a la implicación que pudiera existir
de sus datos personales. En este expediente, la DGT ha señalado respecto de los datos,
que los talleres recogen de estos titulares y de sus vehículos sobre los que realizan
operaciones de reparación o mantenimiento y se envían a la DGT, que no se están
recabando datos personales, sino técnicos del vehículo, que, por otro lado, ya figuran
previamente en el registro de vehículos.
Cuestionada en el mismo proyecto del LTE en pruebas la DGT, sobre cómo obtenía el consentimiento
informado de los titulares de los vehículos para traspasar sus datos y los de la
reparación/mantenimiento a la DGT mediante los talleres, indicó que los datos de matrícula
o bastidor de los que se parte el envío a través del LTE son datos que ya constan en el Registro
de vehículos y una actualización de ?datos técnicos del vehículo que ya constan ?.
10) La DGT informó el 2/06/2022 en actuaciones previas, que los talleres pueden encontrar
información sobre el funcionamiento de la plataforma LTE, sistema de alta, en su web y
en la web de librotaller.com, que pertenece a la entidad privada CETRAA. Para las bajas
en el sistema, la DGT manifestó en pruebas que no tiene establecido sistema alguno, indicando
que se trataría de un no uso de la herramienta. Si un taller se asociara al uso de la
herramienta LTE, la información sobre protección de datos que la DGT manifestó disponer,
se halla en: https://www.dgt.es/contenido/proteccion-de-datos/), que no contiene especificación
alguna, del tratamiento de datos derivado del LTE.
Sobre algún tipo de cláusula de confidencialidad dirigida a los talleres en la citada plataforma
, la DGT señaló en actuaciones previas que tienen modelos creados, pero para este
caso en concreto no se aporta la vigencia de algún tipo de aviso creado al efecto.
11) Sobre la información que la DGT proporciona a los usuarios, en actuaciones previas,
la DGT indicó que ?el taller solo podrá ceder aquellos datos cuando el usuario lo haya autorizado
expresamente-normalmente una casilla en la orden de trabajo?, si bien la DGT es
la responsable del tratamiento de datos personales.
12) Según informó la DGT en actuaciones previas, en pruebas, y alegaciones a la propuesta
, los datos de todos los vehículos incluidos en el LTE se pueden consultar por un taller
que esté asociado al sistema del PROYECTO IDEX LIBRO TALLER, con independencia
de si ese taller realizó los mantenimientos o fue otro, pudiendo consultar el historial de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/78
todas las reparaciones/mantenimientos del vehículo que tuviera datos en el apartado LIBRO
TALLER, además de a los datos de las inspecciones de la ITV, fuera cual fuera el taller
donde se hubiera realizado, y ello con el fin de que se faciliten los trabajos a realizarse
en el vehículo a los talleres asociados.
La DGT señaló en pruebas que de las consultas por los talleres asociados al LTE, dispone
de trazabilidad de esos accesos.
Si bien la DGT no ha manifestado que tales accesos puedan hacerse antes de que el
interesado haya contratado los servicios del taller, este, sin duda podría hacer dicha
consulta a través solo del dato ?matrícula? de cualquier vehículo.
Solicitada información a varios talleres sobre el sistema de consulta al LTE, señalaron que
con la anotación de la matrícula podían ver los datos de cualquier vehículo en dicho
apartado, tanto hubiese sido arreglado, reparado o efectuadas las operaciones de
mantenimiento en el mismo, como en otro taller con el fin de facilitar su tarea.
Como consecuencia, los talleres no asociados al sistema no ven facilitada su labor, al no
poder acceder al citado historial de mantenimiento del vehículo que pueda obrar en el LTE
del Registro de vehículos.
13) Cuestionada la DGT si existía en el seno del proyecto LTE, para los talleres o para la
CETRAA, instrucciones o protocolo con las actuaciones a seguir para verificar que los datos
anotado y traspasados a la DGT responden a la veracidad, certeza y exactitud de las
reparaciones /mantenimientos llevados a cabo y anotados y registrados a la postre en el
Registro de vehículos, respondió que estima que el taller actúa con profesionalidad, veracidad
, certeza, exactitud y es responsable en la información que comunica a la DGT. La DGT
manifestó que ni en la implantación, ni en el desarrollo del sistema LTE ha participado el
DPD.
14) Según manifestó la DGT en alegaciones a la propuesta, para la implantación del LTE
no se realizó plan alguno sobre el tratamiento de datos personales por diseño. En este
procedimiento, se ha tenido conocimiento de que el proyecto LTE comenzó en pruebas en
el año 2015, si bien constan datos anotados del LTE de ese año, indicando la DGT que se
instauró en el año 2018.
FUNDAMENTOS DE DERECHO
I Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este
procedimiento la directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/78
por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II Normativa sectorial aplicable
El Real Decreto 2822/1998, de 23/12, por el que se aprueba el Reglamento General de
Vehículos (RGV), desarrolla, complementa y pormenoriza el texto articulado del Real Decreto
Legislativo 6/2015 de 30/10, por el que se aprueba el Texto refundido de la Ley sobre
tráfico, circulación de vehículos a motor y seguridad vial (LSV).
El artículo 5 de la LSV dispone que serán competencias del Ministerio del Interior entre
otras:
?(?)
d) La matriculación y expedición de los permisos de circulación de los vehículos a motor,
(?)
a) Los registros de vehículos, de conductores e infractores?en los términos que reglamentariamente
se determine?
Además, su artículo 66, sobre permisos de circulación, indica que los vehículos para poder
circular han de obtener previamente el correspondiente permiso de circulación, observándose
además su finalidad: ?dirigido a verificar que estén en perfecto estado de funcionamiento
y se ajusten en sus características, equipos, repuestos y accesorios a las prescripciones
técnicas que se fijen reglamentariamente??, debiendo renovarse, entre otras circunstancias
, ?cuando varíe la titularidad registral del vehículo?.
Por su parte, en el artículo 67 de la misma LSV, bajo el título: ?Otra documentación?, se dispone
que (i) los vehículos, sus equipos y sus repuestos y accesorios deben estar previamente
homologados o ser objeto de inspección técnica unitaria antes de ser admitidos a la
circulación, en los términos que reglamentariamente se determine, (ii) que dichos vehículos
han de ser identificables, ostentando grabados o troquelados, de forma legible e indeleble,
las marcas y contraseñas que reglamentariamente sean exigibles con objeto de individualizarlos
, autentificar su fabricación y especificar su empleo o posterior acoplamiento de elementos
importantes.
Por su parte, la exposición de Motivos del RGV, señala que: ?Los vehículos son bienes
muebles fácilmente identificables a través de sus placas de matrícula y el número de bastidor
o de la estructura autoportante (artículos 8, 49 y anexo 18 del Reglamento) y, por tanto,
susceptibles de determinada publicidad registral.?
El artículo 2 del citado RGV señala: ?registro de vehículos?:
?1. La Jefatura Central de Tráfico llevará un Registro de todos los vehículos matriculados,
que adoptará para su funcionamiento medios informáticos y en el que figurarán, al menos,
los datos que deben ser consignados obligatoriamente en el permiso o licencia de circulación
, así como cuantas vicisitudes sufran posteriormente aquéllos o su titularidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/78
Estará encaminado preferentemente a la identificación del titular del vehículo, al conocimiento
de las características técnicas del mismo y de su aptitud para circular, a la comprobación
de las inspecciones realizadas, de tener concertado el seguro obligatorio de automóviles
y del cumplimiento de otras obligaciones legales, a la constatación del Parque de
Vehículos y su distribución, y a otros fines estadísticos.
El Registro de Vehículos tendrá carácter puramente administrativo, será público para los
interesados y terceros que tengan interés legítimo y directo, mediante simples notas informativas
o certificaciones, y los datos que figuren en él no prejuzgarán las cuestiones de
propiedad, cumplimientos de contratos y, en general, cuantas de naturaleza civil o mercantil
puedan suscitarse respecto a los vehículos.
Tendrá también una función coadyuvante de las distintas Administraciones públicas, Órganos
judiciales y Registros civiles o mercantiles con los que se relaciona.
El funcionamiento del Registro, la forma y efectos de sus anotaciones, así como el alcance
de su publicidad se ajustará, además, a la reglamentación que se recoge en el anexo I. ?
Asimismo, el resto de las normas aplicables establecen diferentes previsiones en relación
con las anotaciones que deben figurar en el referido registro como consecuencia de (i)
cuestiones de índole técnica que afectan a los vehículos, (ii) a consecuencia de cuestiones
de índole fiscal con incidencia en los vehículos y sus titulares, (iii) como corolario del establecimiento
de determinadas garantías jurídicas -precintos, embargos y/o limitaciones de
disposición-, (iv) como resultado de determinadas sanciones impuestas en materia de conductores
y/o de transporte por carretera, y (v) en relación con cuestiones referidas al seguro
obligatorio de los vehículos a motor.
El permiso de circulación, cuyos fines señala el citado artículo 66 de la LSV, responde a un
modelo armonizado que deben expedir los Estados miembros de la UE para los vehículos
que se sometan a matriculación conforme a su legislación nacional (Directiva 1999/37/CE
del Consejo, de 29/04, relativa a los documentos de matriculación de los vehículos,
modificada por la Directiva 2003/127/CE de la Comisión).
El art. 29 del RGV, establece que el permiso de circulación y la licencia de circulación se
ajustarán, en cuanto a su modelo y contenido, a lo que se indica en el anexo XIII del
mismo. El anexo XIII, en su letra B), indica:
?? 1. El permiso de circulación será de color verde, de formato?.
A-Número de matrícula.
B-Fecha de primera matriculación.
C.1.1 Apellidos o razón social.
C.1.2 Nombre.
C.1.3 Domicilio.
C.4 c) No está identificado en el permiso de circulación como propietario del vehículo.
D.1 Marca.
D.2 Tipo/Variante/Versión (si procede).
D.3 Denominación comercial.
(D.4) Servicio a que se destina.
E -Número de identificación.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/78
F.1 Masa máxima en carga técnicamente admisible (en kg) (excepto para motocicletas).
F.2 Masa máxima en carga admisible del vehículo en circulación en España (en kg).
G-Masa del vehículo en servicio con carrocería, y con dispositivo de acoplamiento si se
trata de un vehículo tractor de categoría distinta a la M1 (en kg).
H-Periodo de validez de la matriculación, si no es ilimitado.
I-Fecha de matriculación a la que se refiere el presente permiso.
(I.1) Fecha de expedición.
(I.2) Lugar de expedición.
K -Número de homologación (si procede).
P.1 Cilindrada (en cm3).
P.2 Potencia neta máxima (en kW) (si procede).
P.3 Tipo de combustible o de fuente de energía.
Q-Relación potencia/peso (en kW/kg) (únicamente para motocicletas).
S.1 Número de plazas de asiento, incluido el asiento del conductor.
S.2 Número de plazas de pie (en su caso)?.
Conforme a la normativa vigente, la identificación del titular es una de las finalidades
previstas del RGV, entre otras, registro que tiene carácter público, gestionado por la DGT,
bastando, para la consulta de sus datos, la alegación de la existencia de un interés legítimo
y directo.
Atendiendo a dichos preceptos, se ha de indicar que la finalidad (los datos personales serán
recogidos con fines determinados, explícitos y legítimos?) y la actividad legítima de
quien trata los datos, delimitarán la posibilidad de recogida y tratamiento de estos, debiendo
, además, limitarse dicho tratamiento de datos a los datos proporcionados o adecuados
a tal finalidad. Así, no es lícito el tratamiento de datos que excedan de lo necesario para el
cumplimiento del fin perseguido, por poder infringir el principio de ?minimización de datos?,
recogido en el artículo 5.1.c) del RGPD. Al propio tiempo, los datos únicamente podrán emplearse
para los fines que justifican esa recogida (principio de limitación de la finalidad) y
de los que deberá ser informado el afectado -ex artículos 13 y 14 RGPD-, no siendo lícito
el uso para otros fines incompatibles.
III Ámbito de aplicación-Dato de carácter personal
En el presente supuesto se ha de partir de la base del hecho habitual y cotidiano en el que
un titular de un vehículo, persona física, lleva el vehículo a un taller de reparación, sea para
cambiar componentes, revisar el vehículo o mantenerlo, sea para reparar una avería sufrida.
Es un acto privado y particular, sobre el que la DGT a través de los talleres asociados al
sistema LTE extrae una serie de información.
Se va a examinar si con la actual normativa vigente los datos de tales reparaciones realizados
en los talleres pueden considerarse datos de carácter personal. Se ha de partir de la
normativa vigente reseñada en el anterior fundamento.
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, dispone lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/78
?1) «datos personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados o
no, como la recogida, registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión
o destrucción?.
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios
del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y
medios del tratamiento, el responsable del tratamiento o los criterios específicos para su
nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros?.
Dentro del RGV se indica:
Disposición adicional decimotercera. Protección de datos de carácter personal.
?El tratamiento de los datos de carácter personal resultado de la aplicación de esta Ley se
efectuará de conformidad con lo dispuesto en la normativa vigente en materia de protección
de datos de carácter personal.?
El considerando 1 del RGPD establece:
?La protección de las personas físicas en relación con el tratamiento de datos personales
es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos
Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado
de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene
derecho a la protección de los datos de carácter personal que le conciernan.?
Con la consecuencia de que ?Todo tratamiento de datos personales debe ser lícito y leal.
Para las personas físicas debe quedar totalmente claro que se están recogiendo,
utilizando, consultando o tratando de otra manera datos personales que les conciernen, así
como la medida en que dichos datos son o serán tratados?, considerando 39.
La consideración de datos personales que le ?conciernen? no debe ser interpretada de
manera demasiado restrictiva. Así lo interpretan las Directrices 1/2022, sobre los derechos
de los interesados, derecho de acceso, versión 2.0, adoptada el 28/03/2023, por el Comité
Europeo de Protección de Datos y que figura en su web. En su numeral 104, indica que
?Las palabras «datos personales que le conciernan» no deben ser interpretadas de
manera «excesivamente restrictiva» por los responsables del tratamiento, como ya declaró
el Grupo de Trabajo del artículo 29 en relación con el derecho a la portabilidad de los
datos. ?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/78
El Dictamen 4/2007 del Grupo de Trabajo del artículo 29, adoptado el 20/06, WP 136,
sobre el concepto de datos personales, indica que es: toda información sobre una persona
física identificada o identificable, añade:
- ?En los casos en que, a primera vista, los identificadores disponibles no permiten
singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa
información combinada con otros datos (tanto si el responsable de su tratamiento tiene
conocimiento de ellos como si no) permitirá distinguir a esa persona de otras?.
-? En algunas ocasiones, la información que proporcionan los datos se refiere no tanto a
personas como a objetos. Esos objetos suelen pertenecer a alguien, o pueden estar bajo
la influencia de una persona o ejercer una influencia sobre ella o pueden tener una cierta
proximidad física o geográfica con personas o con otros objetos. En esos casos, sólo
indirectamente puede considerarse que la información se refiere a esas personas u
objetos.?
La definición refleja la intención del legislador de mantener un concepto amplio de ?datos
personales?, lo que exige una interpretación que abarque toda información que pueda
vincularse con una persona, o referirse a una persona identificable, con el objetivo de
proteger las libertades y derechos fundamentales de las personas físicas, particularmente
su derecho a la intimidad en lo que respecta al tratamiento de los datos personales.
El RGPD establece en su Considerando (26): ?Los principios de la protección de datos deben
aplicarse a toda la información relativa a una persona física identificada o identificable.
(?) Para determinar si existe una probabilidad razonable de que se utilicen medios para
identificar a una persona física, deben tenerse en cuenta todos los factores objetivos,
como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la
tecnología disponible en el momento del tratamiento como los avances tecnológicos.?
La citada amplitud en la definición de dato personal se define por:
- ?toda información?, incluyendo todos aquellos datos que proporcionan información,
cualquiera que sea la clase de esta que ha de tener una interpretación amplia, abarcando
información subjetiva u objetiva incluyendo evaluaciones, diagnósticos u opiniones.
- ?sobre? una persona física, relacionando pues cualquier tipo de información sobre una
persona física. Aquí es imprescindible conectar la finalidad de la información con el ?sobre?
quien se trata la misma y los efectos que puede tener para esa persona.
El Dictamen 4/2007, ejemplifica su significado con: ?los datos incluidos en el fichero
personal de una persona guardado en el departamento de personal de su empresa, que
están claramente relacionados con su situación como empleado de dicha empresa.
Aunque no siempre resulte tan evidente establecer que la información versa «sobre» una
persona concreta. En algunas ocasiones, la información que proporcionan los datos se
refiere no tanto a personas como a objetos. Esos objetos suelen pertenecer a alguien, o
pueden estar bajo la influencia de una persona o sus autorizados, o ejercer una influencia
sobre ella o pueden tener una cierta proximidad física o geográfica con personas o con
otros objetos. En esos casos, sólo indirectamente puede considerarse que la información
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/78
se refiere a esas personas u objetos. Un análisis similar puede aplicarse cuando los datos
se refieren en primera instancia a procesos o hechos, como por ejemplo el funcionamiento
de una máquina cuando es necesaria la intervención humana. Bajo determinadas
circunstancias, esta información también puede considerarse información «sobre» una
persona.?
- ?identificada o identificable· Alude a la inmediata identificación o a toda persona cuya
identidad pueda determinarse, directa o indirectamente?, en el sentido de que, para calificar
una información de dato personal, no es necesario que dicha información permita por si
sola, identificar al interesado. De la propia definición legal cabe entender que no es
necesario siquiera que el dato personal identifique en el momento a una determinada
persona, sino simplemente que a través de ese dato personal ?pueda? identificarse a la
misma.
El Dictamen 4/2007 añade: ?En los casos en que, a primera vista, los identificadores
disponibles no permiten singularizar a una persona determinada, ésta aún puede ser
«identificable», porque esa información combinada con otros datos (tanto si el responsable
de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa
persona de otras?.
El artículo 68 de la LSV, establece la obligatoriedad de matricular los vehículos a motor
para poder circular, matrícula ordinaria que será única para el vehículo, salvo excepciones.
Su anexo I, define titular de vehículo, a la persona a cuyo nombre figura inscrito el vehículo
en el registro oficial correspondiente, que resulta ser el ?registro de vehículos? de la DGT.
Para matricular un vehículo, de acuerdo con la información de la web de la DGT, ha de solicitarlo
el comprador-titular del vehículo o cualquier persona autorizada en su nombre. En el
impreso de la DGT establecido al efecto, apartado: ?DATOS DEL VEHÍCULO ?, figuran la
matrícula, la fecha de matriculación y el bastidor, en el apartado DOMICILIO DEL VEHÍCULO
, figuraran los del domicilio de empadronamiento del titular del vehículo. En datos del interesado
figuran nombre y apellidos, nombre: razón social, fecha de nacimiento, teléfono,
correo electrónico. Así pues, la matrícula y/o el bastidor de un vehículo remiten a su titular,
y a la dirección de este, que será también la dirección del vehículo. Las transmisiones del
vehículo implican el registro del nuevo titular. Se puede formar un historial del vehículo a lo
largo del tiempo.
En cuanto al dato del bastidor del vehículo, el art. 29 del RGV prevé que el permiso de circulación
y la licencia de circulación se ajustarán, en cuanto a su modelo y contenido, a lo
que se indica en el anexo XIII del mismo. Y si acudimos a dicho anexo XIII, su letra B) regula
el modelo y contenido del permiso de circulación de los vehículos que son objeto de
matriculación ordinaria, entre cuyos datos se incluye tanto los apellidos, nombre y domicilio
del titular como el ?número de identificación? (apartado E), información que hace referencia
al ?número de identificación, grabado, troquelado o inscrito de forma indeleble en el bastidor
o estructura autoportante? que menciona el art. 8 del Reglamento General de Vehículos.
En definitiva, al número de identificación del bastidor.
En consecuencia, dicho número de bastidor es una información que consta en el Registro
de Vehículos, y tiene el mismo carácter de dato personal que la matrícula del vehículo, ya
que el titular del vehículo es identificable a través de dicho dato. Para determinar si una
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/78
persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización
, que razonablemente pueda utilizar el responsable del tratamiento de datos o cualquier
otra persona para identificar directa o indirectamente a la persona física como establece
el RGPD. Por ello, debe concluirse que las placas de matrícula y el número de bastidor
constituyen un dato personal por reunir dichas características, ya que la identificación
del titular de los vehículos únicamente exigirá la consulta del Registro de Vehículos, al que
se refiere el Reglamento General de Vehículos, cuya finalidad esencial es la identificación
del titular, para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante.
Quedan corroborados ambos aspectos por la sentencia del Tribunal de Justicia de la Unión
Europea sala tercera de 9/11/2023 procedimiento 319/2022, asunto C-319/2022, que trata
sobre un litigio entre la Asociación Profesional alemana de Comercio al por mayor de
piezas de automóvil y SCANIA, fabricante de vehículos sueco en relación con la puesta a
disposición por parte de éste de información del sistema de diagnóstico a bordo de los
vehículos y de información sobre la reparación y el mantenimiento de los vehículos.
En la sentencia se trata de información referida al VIN equivalente al número de bastidor,
código alfanumérico asignado a un vehículo por el fabricante para garantizar la identificación
adecuada de cualquier vehículo será único y estará asignado a un vehículo determinado
y sin posibilidad de error. El VIN consta en el permiso de circulación de un vehículo,
igual que la matrícula.
Se reproduce por su interés la doctrina del Tribunal sobre dicho VIN
44.
Para responder a esta cuestión prejudicial, procede examinar, en un primer momento, si
el VIN está comprendido en el concepto de «datos personales», en el sentido del artículo
4, punto 1, del RGPD, que define este concepto como «toda información sobre una
persona física identificada o identificable».
45.
Esta definición es aplicable cuando, debido a su contenido, finalidad y efectos, la
información de que se trate esté relacionada con una persona física determinada
[sentencia de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet
(Fines del tratamiento de datos personales - Instrucción penal) C-180/21, EU:C:2022:967,
apartado 70]. Para determinar si una persona física es identificable, directa o
indirectamente, hay que considerar el conjunto de los medios que puedan ser
razonablemente utilizados por el responsable del tratamiento, en el sentido del artículo 4,
punto 7 , del RGPD , o por cualquier otro sujeto para identificar a dicha persona, sin que se
exija, no obstante, que toda la información que permita identificar al interesado se
encuentre en poder de una sola entidad (véase, en este sentido, la sentencia de 19 de
octubre de 2016, Breyer, C-582/14, EU:C:2016:779, apartados 42 y 43).
46.
Como ha señalado el Abogado General en los puntos 34 y 39 de sus conclusiones, un
dato como el VIN -que se define en el artículo 2, punto 2, del Reglamento n.º 19/2011
como el código alfanumérico asignado a un vehículo por el fabricante para garantizar la
identificación adecuada de cualquier vehículo y que, como tal, carece de carácter
«personal»- adquiere ese carácter para quien dispone razonablemente de medios que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/78
permiten asociarlo con una persona determinada.
47.
Pues bien, del anexo I, punto II.5, de la Directiva 1999/37 se desprende que el VIN debe figurar
en el permiso de circulación de un vehículo, al igual que el nombre y la dirección del
titular de dicho permiso. Además, en virtud de los puntos II.5 y II.6 de dicho anexo, una
persona física puede ser designada en dicho permiso como propietaria del vehículo o
como persona que puede disponer del vehículo con un carácter jurídico distinto del de propietario
48.
En estas circunstancias, el VIN constituye un dato personal, en el sentido del artículo 4,
punto 1, del RGPD, de la persona física mencionada en el propio permiso, en la medida en
que quien tiene acceso a él podría disponer de medios que le permitan utilizarlo para
identificar al propietario del vehículo al que se refiere o a la persona que pueda disponer
de dicho vehículo con un carácter jurídico distinto del de propietario.
(?)
51.
El concepto de «tratamiento» se define en el artículo 4, punto 2, del RGPD como
cualquier operación o conjunto de operaciones realizadas sobre datos personales o
conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la
comunicación por transmisión, la difusión o cualquier otra forma de habilitación de acceso.
Por lo tanto, este concepto comprende cualquier forma de habilitación de acceso de un
VIN por parte del «responsable del tratamiento», en el sentido del artículo 4, punto 7, de
dicho Reglamento, cuando ese VIN permita identificar a una persona física.?
En este caso, tanto el bastidor como la matrícula del vehículo figuran regulados por la Ley
de Seguridad Vial y su RGV, que han de constar en el RV, y se asocian a la titularidad del
vehículo en un momento concreto, pudiendo variar las titularidades a lo largo de la vida útil
del vehículo, conteniendo su historial de titulares. Igualmente se puede hablar de un
historial de ITVS que se contempla en las citadas normas o de un historial de las
variaciones técnicas del vehículo o adaptaciones que debidamente autorizados deben
figurar en dicho registro, todos ellos pueden concernir a la persona titular en cada
momento.
Cualquier titular de un vehículo siempre ha de disponer de una matrícula en el mismo para
poder circular, tanto personas físicas como personas jurídicas. Además, el dato del actual
titular del vehículo es uno de los que ofrece la DGT en el ?informe del vehículo? a través de
la ?consulta de su registro público para los interesados y terceros que tengan interés
legítimo y directo, mediante simples notas informativas o certificaciones?. (art 2 RGV). Así
pues, independientemente de la procedencia de la información, conociendo la matrícula del
vehículo se puede saber, porque existe un registro público regulado por ley y desarrollado
por el RGV, quien es su titular, que queda asociado en dicho registro de vehículos a la
información sobre el vehículo del que es titular,
La AEPD ha venido entendiendo en repetidos informes jurídicos consultivos desde 2007,
como el informe 425 de 8/02/2007, que los números de matrícula son datos personales al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/78
ser posible conocer su titularidad por la matrícula del mismo en la consulta al Registro de
vehículos de la DGT. Se señalaba en dicho informe que, siguiendo el criterio sustentado
por las distintas Recomendaciones emitidas por el Comité de Ministros del Consejo de
Europa, en las que se indica que la persona deberá considerarse identificable cuando su
identificación no requiere plazos o actividades desproporcionados, debe concluirse que las
placas de matrícula constituyen un dato personal por reunir dichas características, ya que
la identificación del titular de los vehículos cuya matrícula sea conocida, únicamente exigirá
la consulta del Registro de Vehículos, al que se refiere el RGV, aprobado por Real Decreto
2822/1998, de 23/12, cuya finalidad esencial es la identificación del titular, para lo cual
únicamente será necesaria la invocación del interés legítimo del solicitante.
La Exposición de Motivos del RGV, señala que ?Los vehículos son bienes muebles fácilmente
identificables a través de sus placas de matrícula y el número de bastidor o de la
estructura autoportante (artículos 8, 49 y anexo 18 del Reglamento) y, por tanto, susceptibles
de determinada publicidad registral?.
El dato matrícula es utilizado por ejemplo para la imposición de sanciones en materia de
tráfico de vehículos, remitiéndose el boletín de denuncia a su titular en ocasiones con la
obligación de identificar al conductor del vehículo el día y hora de la infracción pudiendo
servir inicialmente para la identificación del propietario que consta en los registros
administrativos como el de vehículos de la DGT para dicha identificación.
El dato matrícula puede dar lugar a conocer una detallada información como ha puesto de
manifiesto la DGT a través del informe completo de un vehículo. A partir de dichos datos se
obtiene no solo el titular del mismo, que puede ser una persona física, también la dirección
del vehículo que de acuerdo al impreso ?trámites de vehículos? que la DGT dispone para
entre otros realizar el trámite de matriculación, se trata del ?domicilio de empadronamiento
del titular del vehículo?, existiendo obligación si se cambia del domicilio de su titular de
comunicar la variación de datos a la DGT, y en el registro de la DGT se recogen las
variaciones de titular del vehículo y el titulo por el que se producen.
Asociado a la matrícula, de por sí dato de carácter personal, también se añade la
información objeto del libro taller, reparación/mantenimiento/siniestros sobre el propio
vehículo, al que se asocia por añadidura el kilometraje, todos ellos datos que además
conciernen o afectan a los titulares de los vehículos que son reparados o mantenidos en
los citados talleres asociados.
En base a las anteriores consideraciones, las alegaciones de la DGT, y también de algunos
talleres, relativas a que se transmiten por los talleres solo datos técnicos, sin introducir los
datos de su titular, lo que supone que no se recogen datos de carácter personal porque en
el registro ya figuran los datos técnicos de matrícula o bastidor, han de ser rebatidas por
cuanto dichos datos técnicos del vehículo se asociarían a su propietario registrado, y por
tanto no es difícil conocer quien pueda ser el titular del mismo a efectos administrativos, se
trata por ello de información que concierne a esa persona en cuanto propietario del mismo.
Ha de observarse que, aunque el taller acceda a traspasar los datos en la aplicación
Informatica por la opción matrícula o y bastidor del vehículo, es tan solo el medio que la
DGT ha instaurado, sin que varie el hecho de que se está haciendo referencia a una
posibilidad de ligar finalmente esa información con el titular del vehículo, sin que el medio
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/78
empleado para la búsqueda difumine el carácter personal de los datos que son tratados
con esta herramienta. Por lo tanto, no son admisibles las alegaciones de que se tratan
datos que ya figuran inscritos en el RV o que son solamente de tipo técnico, sin conexión
alguna con datos de carácter personal.
En definitiva, los datos que recoge la DGT a través de plataformas informáticas integradas
en su sistema IDEX (incorporación de datos de entidad externa), que disponen las
Asociaciones de talleres o los empresarios del ramo, y que se integran en el RV, son datos
de los titulares de los vehículos objeto de reparación/mantenimiento. Datos que formarán
parte del historial de mantenimiento/reparaciones del vehículo que contiene los datos de
identidad de las personas que sucesivamente han sido titulares del vehículo asociados a
las reparaciones que cada uno ha llevado a efecto, o las que una misma persona titular del
vehículo ha efectuado durante la vida del vehículo.
IV responsable del tratamiento de datos personales
Aunque según la DGT, la recogida de datos en el LTE de los clientes que acuden al taller
se justifica en el mantenimiento de una relación jurídica contractual que requiere el
tratamiento de sus datos por el taller. Por tanto, su relación bilateral taller-titular hallaría
legitimación en el artículo 6.1.b) del RGPD.
La DGT ha establecido los fines y los medios no solo tecnológicos del tratamiento de datos
de LTE, lo que configura la posición jurídica de responsable del tratamiento de datos, la
DGT ha impuesto las condiciones para el citado tratamiento del LTE, considerándose
responsable del tratamiento de datos personales, integrándose esta actividad, según
indica, en la actividad de tratamiento del Registro de vehículos, siendo competente para
dicho tratamiento la DGT.
A ello se suma que la DGT también ha establecido quienes tendrán acceso a estos datos,
como se ofrece en la información de la web, al establecer que cualquier ciudadano con
interés legítimo pueda consultarlo con el servicio del ?informe completo del vehículo? que
ofrece la DGT, previo abono de una tasa. Adicionalmente, se debe indicar que el informe
completo es el único que ofrece esta información sobre las
reparaciones/mantenimiento/kilometraje del vehículo, pero siempre que el registro de
vehículos la tuviera, circunstancia que en principio el ciudadano consultante desconocerá,
y que depende de si el taller donde se realizó la reparación o mantenimiento del vehículo
está en el sistema.
Es decir, las operaciones de tratamiento de datos relacionadas con la materia LTE no
alcanzan a la generalidad de los vehículos, pues los que no se reparan en tales talleres
asociados o cuando el titular decide no entregar a la DGT dichos datos en los casos en
que haya sido informado expresamente de la opción, hecho que no queda claro que se
produzca en el funcionamiento del sistema como se desprende de las respuestas de los
talleres.
Tanto en el supuesto en el que al hacer la reparación se ofrezca al cliente la opción de dar
el consentimiento para el tratamiento de sus datos por la DGT como si no se le ofrece la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/78
opción la DGT es responsable de tales tratamientos pues los talleres recogen los datos
concernientes a las reparaciones del vehículo, y los trasladan/comunican de acuerdo con
las previsiones del proyecto LTE a la DGT, que almacena los datos en el REGISTRO DE
VEHÍCULOS, mediante esa plataforma, instaurada y gestionada también por la DGT. Esta
es la responsable de esta recogida de datos, implantando los medios, los fines, las
herramientas y el traspaso de esos datos al sistema informático del registro de vehículos
gestionado por la misma DGT. Por tanto, los medios del tratamiento, el porqué, y el cómo
del tratamiento, la finalidad, son en este caso impuestos por la DGT, constituyéndose como
se dijo al inicio, en responsable del tratamiento.
Conviene aquí hacer referencia a la alegación de la DGT relativa a que se aclare la forma
en que se ha iniciado el presente procedimiento sancionador en el que se le exige la
responsabilidad como responsable del tratamiento de datos personales. En este caso
queda claro en el acuerdo de inicio del procedimiento que las actuaciones se iniciaron por
escrito de la directora de la AEPD, siendo la referencia incluida en el acuerdo de inicio a
que se acuerda ?incorporar la reclamación? un error inadvertido. Asimismo, ha de indicarse
que el informe del Gabinete Jurídico que se cita en el inicio de las actuaciones de
investigación, figura incorporada en el trámite de pruebas al que ha tenido acceso la DGT a
través de la obtención de la copia del expediente. Por lo demás, conforme señala el
artículo 63.1 de la LPACAPAP: ?Los procedimientos de naturaleza sancionadora se
iniciarán siempre de oficio por acuerdo del órgano competente?.
V Regulación en el RV de los datos que se tratan en el LTE
Sobre la alegación de la DGT de que no se tratan datos personales porque lo que se
introduce por los talleres en la plataforma de uso del LTE son datos técnicos que ya
figurarían en el RV, por mor de la normativa vigente, como son la matrícula o el bastidor, no
resulta del todo cierta. Se ha de hacer notar, que a través del LTE se añaden al registro de
vehículo otros adicionales, referidos básicamente al kilometraje, al tipo de
reparaciones/mantenimiento, al taller en el que se realizan, la fecha, e incluso si se trata de
siniestro. Estos datos adicionales, que como se ha detallado, se asocian al titular
identificable del vehículo, no se contemplan en la actualidad en la información que el RGV
ordena incluir en el registro de vehículos.
El resultado es que se agrega una actividad de tratamiento de datos propia y diferenciada
(recogida y transmisión de los datos a la DGT por un taller (tercero) y consulta por parte de
terceros) derivada del LTE, que de acuerdo con la DGT se integra asimismo en el Registro
de Actividades de tratamiento del mismo Registro de Vehículos, cuando la norma que
regula este, el RGV no hace mención de estos datos como integrantes del Registro de
vehículos, ni de modo obligatorio, ni de modo voluntario.
Pese a la manifestación de la DGT, lo cierto es que en el RAT del RV no figura mención
alguna a esta categoría de sujeto-taller- del que se recaban los datos, ni se aprecia que
esté obligado a proporcionarlos a la DGT, ni tampoco del objeto: las reparaciones o
mantenimiento/kilometraje.
VI Tratamiento de datos/Base legitimadora
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/78
Sobre esta actividad de tratamiento de datos, se ha de examinar además la pretendida
base legitimadora que ha detallado la DGT.
La DGT señala que ?el LTE es un elemento de seguridad pasiva, en base al interés
público, la DGT puede solicitar a los talleres adheridos que le cedan los datos
anteriormente indicados. El taller solo podrá ceder aquellos datos cuando el usuario lo
haya autorizado expresamente, normalmente marcando una casilla en la orden de trabajo?.
También ha añadido en esta explicación en alegaciones a la propuesta que las vicisitudes
que sufre posteriormente el vehículo o su titularidad se hallan en el RV, considerando
incluidos por analogía las voluntarias reparaciones, mantenimiento y kilometraje que
realiza el propietario del vehículo a título particular. La normativa de tráfico regula
expresamente los cambios de titularidad que acceden al RV, pero no las vicisitudes del
vehículo. Según la DGT este tratamiento de datos se justifica en que son datos de nivel
técnico y en que inciden en la seguridad vial por lo que entiende que también deben
integrarse en el RV.
Teniendo en cuenta lo anterior la reclamada manifestó que la base de legitimación sería la
del interés público (artículo 6.1.e) del RGPD. Sin embargo, la información adicional sobre
un vehículo se incluiría solo en función del taller y en función de que el cliente diera su
consentimiento expreso, por lo que no puede decirse que este tratamiento sea ?necesario?
para el interés público que se persigue como requiere el artículo 6.1.e) del RGPD
Señala el artículo 6.?1. El tratamiento solo será lícito si se cumple al menos una de las
siguientes condiciones:
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento?
El RGPD sobre el citado artículo, añade:
?3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida
por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo
relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el
cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener
disposiciones específicas para adaptar la aplicación de normas del presente Reglamento,
entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del
responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las
entidades a las que se pueden comunicar datos personales y los fines de tal
comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así
como las operaciones y los procedimientos del tratamiento, incluidas las medidas para
garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones
específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados
miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/78
perseguido.
Por otro lado, el artículo 8 de la LOPDGDD, lleva por rúbrica ?Tratamiento de datos por
obligación legal, interés público o ejercicio de poderes públicos?, en su apartado 2, dispone
que:
?2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento
de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos
al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE)
2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.?
Esta Agencia Española de Protección de Datos ha tenido la oportunidad de analizar la
base jurídica de los tratamientos de datos por las Administraciones públicas en sus
Informes jurídicos 108/2018, 155/2018 y 175/2018. En dichos informes se expone que:
?La Administración Pública, está vinculada por el principio de legalidad, de manera que, a
diferencia de los particulares, tan solo puede llevar a cabo aquello para lo que el
ordenamiento jurídico le permite expresamente. Este es el sentido de lo dispuesto en los
artículos 9.1 y 103 de la Constitución, de suerte que cuando la ley y el derecho no han
atribuido a la Administración las potestades correspondientes para actuar ante una
determinada situación, esa actuación no podrá llevarse a cabo sin que previamente el
ordenamiento le atribuya dichas potestades. No existe por tanto un espacio vacío donde a
falta de ley pueda la Administración actuar. Es lo que se ha denominado la doctrina de la
vinculación positiva de la Administración a la legalidad (García de Enterría). En
consecuencia, para que la Administración pueda actuar necesita de una previa habilitación
legal (entendida aquí legalidad como habilitación normativa). Y ello tanto si la
Administración actúa en el ámbito del derecho público como el ámbito del derecho privado.
Así podemos ver que incluso en este último ámbito, en el que actuaría en el mismo rango
que los particulares, la Administración necesita una norma que le habilite a actuar.?
?Los tratamientos de datos que necesite realizar la Administración para tal fin tendrían, en
principio, como base jurídica legitimadora la propia base establecida en el artículo 6.1.e)
RGPD, esto es, que el tratamiento ha de ser necesario para cumplimiento de la misión realizada
en interés público, por cuanto la Administración no solo está vinculada positivamente
a la ley y al derecho de manera que no puede actuar sin éste o a espaldas de éste, sino
que por ese mismo motivo toda su actuación esta guiada, en términos amplios, por el interés
público, aunque su actuación se desenvuelva en el ámbito del derecho privado.?
Por consiguiente, para que el tratamiento pueda ampararse en el artículo 6.1.e) del RGPD,
se requiere que una norma con rango de ley atribuya la competencia. Sin embargo, la LSV
no contiene ninguna previsión explícita acerca de la incorporación de datos al Libro Taller.
Por ello no concurre el requisito previsto en la LOPDGDD.
Dados los potenciales efectos intrusivos en el derecho fundamental afectado que resultan
del tratamiento de datos personales objeto de análisis reflejado en el LTE, se ha de considerar
que la misión o tarea de interés público ha de estar prevista por norma de rango legal
, debe tener una base clara en la ley, suficientemente específica y clara a la hora de definir
el tipo de tratamiento de datos que puede permitirse que derive de forma clara y previsible
de dicha ley.
Para que el tratamiento de datos personales pueda ampararse en el artículo 6.1.e) del
RGPD, se requiere pues, que una norma con rango de ley atribuya la competencia,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/78
competencia que, de acuerdo con el principio de vinculación positiva de la Administración a
la ley, únicamente podrá ejercerse en los términos y dentro de los límites en que haya sido
atribuida por dicha norma legal y, en su caso, por los preceptos reglamentarios que la
desarrollen. La DGT cuenta con competencias en materia de seguridad vial, que se puede
relacionar en cuanto a los efectos en la misma se incrementan si se promueven más
revisiones o mantenimientos en los vehículos, y así se puede desprender de la ley. Lo
mismo cabría señalar respecto de la evitación del fraude de los cuentakilómetros. La
conexión con la materia de que mejoraría en las compraventas particulares de vehículos la
transparencia como garantía si se tienen datos en el LTE sería un elemento que se tendría
que incluir en la ley, considerando que una función pública intervendría en una cuestión
privada, y no se desprende claramente de la LSV ni de su normativa de desarrollo. Lo
mismo cabría señalar de las específicas reparaciones de los siniestros, que pueden afectar
al sector seguros.
El argumento de la DGT del interés o misión de interés público decae por su propia base,
desde el momento en que tal ley que previera el interés público para que los talleres
traspasen los datos debería especificar que los talleres asociados deben enviar los datos, y
los no asociados no lo tendrían que hacer, aspectos reñidos con el interés público en sí.
En este caso, tampoco se acredita que exista norma alguna que establezca que el tipo de
datos y el objeto de los que figuran en el LTE, deban ser parte del Registro de Vehículos,
pues estos se definen estrictamente por su inclusión en los anexos de dicha norma que no
amplia a los elementos de la reparación/mantenimiento/kms. /siniestros. en taller. Por otra
parte, la asociación de los talleres sin los que el sistema no funcionaría es voluntaria, y si la
norma se interpretara de modo que esas reparaciones/mantenimiento/kilometraje/siniestros
formaran parte del RV no tendría sentido que solo los proporcionaran los talleres
asociados. Lógica consecuencia es que al no existir la norma que prevea el interés público,
no se contienen unos elementos que podrían formar parte específica de la configuración
propia del tratamiento de datos que prevé el artículo 6.3 del RGPD.
Así pues, se desprende que la norma reguladora del registro de vehículos no llega a la
exigencia de recoger y tratar los datos que se comprenden en el LTE.
Por lo demás, desde el momento en que se parte de la base de que son los clientes que
conservan o mantienen los vehículos los que configuran y deciden el tratamiento, tampoco
permite considerarse de interés público en lo que a estos correspondiera, debilitando la
nota de necesidad del tratamiento que se exige a esta base legitimadora.
Por otro lado, debe señalarse que el carácter voluntario de la participación de los talleres
colaboradores en el actual sistema de ?Libro Taller? excluye que la base de legitimación
pueda ser el interés público.
Finalmente, en cuanto al alegado supuesto interés público, se ve mermado de resultas del
funcionamiento del sistema a través de la consulta en Registro. El resultado garantizador
que se pretende y el que se obtiene del modo consulta del registro es relativo. Partiendo de
la base de que si en el ?informe completo? del vehículo, no sale dato alguno referido al
mantenimiento/reparación del vehículo -es porque no tiene ese dato-, las personas que
buscan una supuesta garantía al adquirir un vehículo abonan la tasa, que, además, es
recomendada por la DGT, pero desconocen si su consulta contendrá los elementos de las
supuestas reparaciones/mantenimiento del LTE. Al extraer el informe puede ser que no se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/78
contengan dichos datos. Tampoco el abono de la tasa del informe del vehículo que puede
contener datos del LTE frente al carácter gratuito del informe reducido que no los
contendrá en ningún caso, se puede relacionar con una implantación y promoción que
favorecería medidas positivas para la seguridad vial derivadas de una misión de interés
público por la onerosidad configurada para su acceso.
Por tanto, la tesis del tratamiento de los datos del LTE por los talleres en base al interés
público o misión en interés público, no puede prosperar y no cumpliría los requisitos para
poder acoger la citada base legitimadora que legitimaría el tratamiento, dado que según
está implantada la medida, tampoco se revela su necesidad.
En cuanto al consentimiento del cliente como base de legitimación para el tratamiento de
los datos de la reparación/mantenimiento/kilometraje/siniestros del vehículo de su
titularidad, el RGPD lo define en su artículo 4.11 del RGPD, que indica:
?«consentimiento del interesado»: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o
una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
Además, el artículo 7 del RGPD, indica:? Condiciones para el consentimiento
1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable
deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos
personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que
también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal
forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la
declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La
retirada del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será
informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor
medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la
prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales
que no son necesarios para la ejecución de dicho contrato.?
La incorporación de los datos del vehículo y su titular, por el RV previstos en la Ley de
Seguridad Vial y el Reglamento de Circulación, no precisan del consentimiento del titular
del vehículo, por exigirlo dicha norma. Según la DGT, los datos de
reparaciones/mantenimiento/kilometraje/siniestro, están agregados a la operación de
tratamiento ?registro de vehículos que contempla como base de legitimación el
cumplimiento de una obligación legal, artículo 6.1.c) del RGPD. Sin embargo, para
aumentar dicho registro de vehículos con los datos del tratamiento derivado del LTE, la
DGT acude a la base del consentimiento y subsidiariamente a que no se tratan datos de
carácter personal. Abandonada esta segunda vía por lo que se ha indicado en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/78
fundamento de derecho III, se examina la referencia al supuesto consentimiento como
medio de legitimación del tratamiento de los datos del proyecto del LTE.
Se ha de tener en cuenta que la actividad de tratamiento no solo consiste, cuando el
cliente da su consentimiento como cliente privado del taller para que sus datos vayan al RV
de la DGT, sino que una vez en esta, como administrado, titular de un vehículo aparecerá
vinculado por dicha relación jurídica de administrado, pudiendo ser consultados por
terceros en el RV, algo a lo que el cliente en principio no puede oponerse. Como
observación, parece difícil que el propio titular del vehículo consienta que se anote en
dicho RV que su vehículo ha sido reparado debido a un siniestro. Nótese además que la
DGT estaría ampliando el ámbito de la publicidad legal del acceso al RV, que ahora mismo
no contempla los datos del LTE a través de la obtención del consentimiento procedente de
una relación privada taller-cliente. Si el acceso a una base de datos pública es obligatorio
sobre los datos recogidos del cliente en las operaciones del LTE, no se puede decir que
pueda prestar consentimiento sobre ese aspecto, al ser de obligado cumplimiento su
incorporación al registro público de vehículos. Se estaría así, condicionando la libre
prestación del consentimiento sobre una parte del tratamiento. Esto ya sería suficiente para
entender que el consentimiento en este caso no es una base jurídica adecuada para la
recogida y el tratamiento de los datos relacionados con el LTE Al no concurrir el requisito
de la libertad del consentimiento.
Adicionalmente, al solicitar el consentimiento, un responsable del tratamiento tiene la
obligación de evaluar si cumplirá con todos los requisitos para obtener el consentimiento
válido. Si se obtiene en plena conformidad con el RGPD, el consentimiento es una
herramienta que da a los interesados el control sobre si los datos personales que les
conciernen serán tratados o no. En caso contrario, el control del interesado se convierte en
ilusorio y el consentimiento será una base inválida para el tratamiento, lo que hará ilegal la
actividad de tratamiento.
La obtención del consentimiento debe estar sujeta a requisitos rigurosos, ya que se refiere
a los derechos fundamentales de los interesados y el responsable del tratamiento desea
realizar una operación de tratamiento que sería ilegal sin el consentimiento del interesado.
Además, la obtención de consentimiento tampoco niega ni disminuye en modo alguno la
obligación del responsable del tratamiento de respetar los principios consagrados en el
RGPD, especialmente el artículo 5 del RGPD en lo que respecta a la equidad, la necesidad
y la proporcionalidad, así como a la calidad de los datos. Incluso si el tratamiento de datos
personales se basa en el consentimiento del interesado, esto no legitimaría la recogida de
datos, lo que no es necesario en relación con un propósito específico de tratamiento y es
fundamentalmente injusto.
El consentimiento debe ser específico y de conformidad con el artículo 5, apartado 1, letra
b), del RGPD, la obtención de un consentimiento válido siempre va precedida de la
determinación de un fin específico, explícito y legítimo para la actividad de tratamiento
prevista. La necesidad de un consentimiento específico en combinación con la noción de
limitación de finalidad que figura en la letra b) del apartado 1 del artículo 5 funciona como
salvaguardia contra la progresiva ampliación o confusión de los fines para los que se tratan
los datos, una vez que un interesado haya aceptado su recogida.
Solo se puede obtener un consentimiento específico cuando se informa específicamente a
los interesados sobre los fines previstos del uso de los datos que les concierne.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/78
El consentimiento también debe ser informado, sobre la base del artículo 5 del RGPD, el
requisito de transparencia es uno de los principios fundamentales, estrechamente
relacionado con los principios de equidad y legalidad. Proporcionar información a los
interesados antes de obtener su consentimiento es esencial para que puedan tomar
decisiones informadas, comprender lo que están de acuerdo y, por ejemplo, ejercer su
derecho a retirar su consentimiento. Si el responsable no proporciona información
accesible, el control del usuario se vuelve ilusorio y el consentimiento será una base
inválida para el procesamiento.
En este caso, los talleres asociados al sistema LTE solicitan el consentimiento, que puede
ser otorgado o no. Se ha de tener en cuenta, que ni todos los talleres están asociados al
LTE, ni todos los talleres obtienen de todos los clientes el consentimiento. En todo caso,
debería especificarse en la información al interesado, cuales serían los datos sobre los que
consiente el traspaso, los fines y las cesiones. Sin embargo, los talleres no obtienen un
consentimiento informado porque no facilitan la información necesaria y mínima. Esta
sería: finalidad del tratamiento, identidad del responsable, categoría de datos, y una
descripción de los derechos del interesado entre los que ha de incluirse la posibilidad de
retirar el consentimiento, de acuerdo con lo que señala el punto 36 de las ?Directrices
sobre transparencia en virtud del RGPD?, de 29/11/2017, WP 260. Los titulares de los
vehículos tampoco son libres, pues no se ha establecido ningún procedimiento para que
puedan retirar el consentimiento y que garantice que sea tan fácil retirar el consentimiento
como darlo.
La DGT por su lado, en alegaciones ha definido su posición en que no precisa obtención
del consentimiento del titular del vehículo pese a una declaración inicial que admitía que
debía ser obtenido por los talleres. En este caso la DGT, además de lo ya señalado, para el
tratamiento de los datos del titular del vehículo que acude a un taller para conservar o
mantener su vehículo traspasados al LTE, no le es posible ampararse en el consentimiento
porque el consentimiento obtenido no reúne los requisitos de validez de ser informado,
específico y libre. Todo ello, en base y condicionado a que un responsable del tratamiento
público como es la DGT no está en la misma posición jurídica que el titular del vehículo.
En la practica la DGT no muestra relación alguna con los clientes que prestan el
consentimiento, ni se asegura a través de los talleres de que se proporcione la información
legalmente establecida, ni verifica la obtención de los consentimientos obtenidos. Tampoco
se hace responsable de su exactitud, aduciendo que no han sido obtenidos por ella. No se
aprecia que tenga o pudiera tener algún protocolo establecido tendente a dicho fin, fuera
motu proprio, fuera concertado con los talleres.
Por tanto, la base legitimadora del consentimiento no es válida para el tratamiento del LTE
pretendido.
En cuanto a la deriva del interés legítimo de terceros que van a adquirir el vehículo o el
conocimiento para su valoración, que alega la DGT, de conformidad con el artículo 6.1.f)
del RGPD que indica:
?el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un
niño.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
65/78
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
Se deduce pues que la reclamada no puede tratar nuevos datos con la finalidad de
cederlos a terceros que tengan un interés legítimo, pues para que tal cesión sea lícita será
necesario en primer lugar que la obtención y registro de los datos que se comunican esté
amparada en una base de legitimación, por tanto la reclamada no acredita base
legitimadora para el tratamiento de los datos de los titulares de los vehículos que son
reparados o sobre los que se efectúa mantenimiento por talleres asociados y se traspasan
a la DGT en el sistema LTE. Con ello, se estima que se infringe el artículo 6.1 del RGPD
por la reclamada, responsable del tratamiento de estos datos.
La infracción se contiene en el artículo 83.5 del RGPD que indica:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio
total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;?
A efectos del cómputo de su prescripción, la LOPDGDD señala en su artículo 72.1.b)
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud
del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.?
VII Tratamiento de datos desde el diseño
Como indica la Exposición de motivos de la Ley 3/2018 ?la mayor novedad que presenta el
Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en
el control del cumplimiento a otro que descansa en el principio de responsabilidad activa,
lo que exige una previa valoración por el responsable o por el encargado del tratamiento
del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a
partir de dicha valoración, adoptar las medidas que procedan?.
El artículo 25.1 del RGPD indica:
?1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza,
ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y
gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas,
el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de
tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas
apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los
principios de protección de datos, como la minimización de datos, e integrar las garantías
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
66/78
necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y
proteger los derechos de los interesados.?
Este artículo tiene como antecedente el 24 que indica:
?Responsabilidad del responsable del tratamiento. Teniendo en cuenta la naturaleza, el
ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad
y gravedad para los derechos y libertades de las personas físicas, el responsable del
tratamiento aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y
poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas
medidas se revisarán y se actualizarán cuando sea necesario.?
El artículo 25, apartado 1, estipula que los responsables del tratamiento deben tener en
cuenta la PDDD desde el momento en que comienzan a planificar una nueva operación de
tratamiento. Los responsables del tratamiento aplicarán la PDDD antes del tratamiento, y
también de forma continuada en el momento del tratamiento, revisando regularmente la
efectividad de las medidas y garantías elegidas. La PDDD también se aplica a los sistemas
ya existentes que tratan datos personales.
La obligación esencial es la aplicación de medidas adecuadas y las garantías necesarias
para la aplicación efectiva de los principios de protección de datos y, en consecuencia,
proteger los derechos y libertades de los interesados desde el diseño y por defecto. Se
busca que se lleve a la practica la aplicación de medidas y procedimientos internos que
pongan en funcionamiento real la garantía y eficacia de los principios de protección de
datos y de los derechos de los afectados, con unos mínimos básicos o comunes y unos
añadidos modulables específicos en función del riesgo y naturaleza de los datos. Se
traduce en estrategias y procedimientos concretos definidos al nivel del responsable del
tratamiento de datos, así como en garantizar igualmente la eficacia de dichas medidas
(seguimiento, auditorías internas y externas, etc.). El resultado pretendido es que el haber
llevado a cabo medidas eficaces desde el diseño tendentes a observar los principios
materiales de la Protección de Datos sería menos probable una infracción de la normativa.
La idoneidad de las medidas deberá decidirse caso por caso. Corresponde a los
responsables del tratamiento de datos adoptar dichas decisiones siguiendo, en su caso, las
directrices publicadas por las autoridades de Protección de Datos nacional y del grupo de
trabajo del artículo 29 ahora el Comité Europeo de Protección de Datos. En cuanto a las
medidas específicas aplicables, deben determinar si en función de los hechos y
circunstancias de cada caso particular, con atención especial al riesgo del tratamiento y a
los tipos de datos.
El principio de privacidad desde el diseño es una muestra del paso de la reactividad a la
proactividad y manifestación directa del enfoque de riesgos que impone el RGPD. Parte de
la responsabilidad proactiva, impone que, desde los estadios más iniciales de planificación
de un tratamiento debe de ser considerado este principio: el responsable del tratamiento
desde el momento en que se diseña y planifica un eventual tratamiento de datos personales
deberá determinar todos los elementos que conforman el tratamiento, a los efectos de
aplicar de forma efectiva los principios de protección de datos, integrando las garantías necesarias
en el tratamiento con la finalidad última de, cumpliendo con las previsiones del
RGPD, proteger los derechos de los interesados. Así, y respecto de los riesgos que pueden
estar presentes en el tratamiento, el responsable del tratamiento llevará a cabo un
ejercicio de análisis y detección de los riesgos durante todo el ciclo de tratamiento de los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
67/78
datos, con la finalidad primera y última de proteger los derechos y libertades de los interesados
, y no solo cuando efectivamente se produce el tratamiento.
Así se expresa en las Directrices 4/2019 del CEPD relativas al artículo 25 Protección de
datos desde el diseño y por defecto, adoptadas el 20/10/2020. En las citadas Directrices se
indica al respecto que:
?35. El «momento de determinar los medios de tratamiento» hace referencia al período de
tiempo en que el responsable está decidiendo de qué forma llevará a cabo el tratamiento y
cómo se producirá este, así como los mecanismos que se utilizarán para llevar a cabo dicho
tratamiento. En el proceso de adopción de tales decisiones, el responsable del tratamiento
debe evaluar las medidas y garantías adecuadas para aplicar de forma efectiva los
principios y derechos de los interesados en el tratamiento, y tener en cuenta elementos
como los riesgos, el estado de la técnica y el coste de aplicación, así como la naturaleza,
el ámbito, el contexto y los fines. Esto incluye el momento de la adquisición y la implementación
del software y hardware y los servicios de tratamiento de datos.
36. Tomar en consideración la PDDD desde un principio es crucial para la correcta aplicación
de los principios y para la protección de los derechos de los interesados. Además,
desde el punto de vista de la rentabilidad, también interesa a los responsables del tratamiento
tomar la PDDD en consideración cuanto antes, ya que más tarde podría resultar difícil
y costoso introducir cambios en planes ya formulados y operaciones de tratamiento ya
diseñadas?.
Para ello debe recurrir al diseñar el tratamiento a los principios recogidos en el artículo 5
del RGPD, que servirán para aquilatar el efectivo cumplimiento del RGPD. Así, las citadas
Directrices 4/2019 del CEPD disponen que
?61. Para hacer efectiva la PDDD, los responsables del tratamiento han de aplicar los principios
de transparencia, licitud, lealtad, limitación de la finalidad, minimización de datos,
exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad
proactiva. Estos principios están recogidos en el artículo 5 y el considerando 39 del
RGPD?.
La Guía de Privacidad desde el Diseño de la AEPD afirma que ?La privacidad desde el diseño
(en adelante, PbD) implica utilizar un enfoque orientado a la gestión del riesgo y de
responsabilidad proactiva para establecer estrategias que incorporen la protección de la
privacidad a lo largo de todo el ciclo de vida del objeto (ya sea este un sistema, un producto
hardware o software, un servicio o un proceso). Por ciclo de vida del objeto se entiende
todas las etapas por las que atraviesa este, desde su concepción hasta su retirada, pasando
por las fases de desarrollo, puesta en producción, operación, mantenimiento y retirada?.
La Guía dispone que ?La privacidad debe formar parte integral e indisoluble de los sistemas
, aplicaciones, productos y servicios, así como de las prácticas de negocio y procesos
de la organización. No es una capa adicional o módulo que se añade a algo preexistente,
sino que debe estar integrada en el conjunto de requisitos no funcionales desde el mismo
momento en el que se concibe y diseña (?) La privacidad nace en el diseño, antes de que
el sistema esté en funcionamiento y debe garantizarse a lo largo de todo el ciclo de vida de
los datos?. Por ello, la privacidad desde el diseño, obligación del responsable del tratamiento
que nace antes de que el sistema esté en funcionamiento, no son meros añadidos que
se van asentando sobre un sistema construido de espaldas al RGPD.
Ligado a la edificación de una verdadera cultura de protección de datos en la organización
, implica también por mor de la responsabilidad proactiva la capacidad de documentar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
68/78
todas las decisiones que se adopten con un enfoque ?privacy design thinking?, demostrando
el cumplimiento del RGPD también en este aspecto. El enfoque de riesgos hace referencia
directa e inmediata a un sistema preventivo tendente a visualizar, respecto de un
tratamiento de datos personales, los riesgos en los derechos y libertades de las personas
físicas. En relación con los riesgos en esos derechos y libertades, han de identificarse los
riesgos, evaluar su impacto y valorar la probabilidad de que aquellos se materialicen. Se
protegen pues, no los datos, sino a las personas que están detrás de ellos. Los riesgos
para los derechos y libertades de las personas físicas, derivados del tratamiento de datos
personales, pueden ser de gravedad y probabilidad variables y provocar daños y perjuicios
físicos, materiales o inmateriales, consecuencias tangibles o intangibles, en los derechos y
las libertades de las personas físicas.
El considerando 75 del RGPD y el artículo 28.2 de la LOPDGDD recopilan ejemplificativamente
algunos de los considerados por el legislador, mas no son los únicos. Dependerá del
tratamiento y el contexto en el que este se realiza, de los datos personales tratados, de las
personas involucradas, de los medios utilizados, etc.
En este caso, existen varios indicios de ausencia de dichas medidas técnicas u
organizativas, que se podrían resumir en:
-La reclamada no ha implementado los criterios de transparencia, los derechos y obligaciones
a que se ve sometida al recoger y tratar los datos de los titulares de vehículos que consienten
ceder sus datos. La DGT solo indica que el origen de los datos viene de terceros,
cuando se incorporan a una plataforma propia y se muestran en el RV. Tampoco se posibilita
el ejercicio de derechos sobre los datos que se consiente ceder. No se tiene constancia
de una adecuada información al cliente que repara el vehículo y da los datos, sobre el ejercicio
de derechos asociado a su recogida y traspaso.
-No ha aportado referencia alguna sobre el tipo de convenio o colaboración en que se base
la concertación con los talleres para la gestión del LTE, ni las instrucciones o protocolo
para verificar la exactitud y veracidad de los datos de los titulares de vehículos que se recogen.
El proyecto LTE se basa en el contenido de las webs informativas de la DGT principalmente
, con un funcionamiento carente de desarrollo normativo que lo apoye, y obviando
toda cuestión al titular del vehículo.
-Se carece de análisis de riesgos sobre la calidad de los datos que se recogen, en orden a
confrontar que los que aparecen registrados por la transmisión obedecen a los que realmente
se trata de los titulares y las matrículas de los vehículos.
-Análisis del papel de los talleres en materia de protección de datos.
-Procesos implantados por el responsable para verificar que los talleres habilitados al uso
de LTE, sean sociedades, sean personas físicas, reúnen los requisitos y los conserven en
el tiempo. La CETRAA indicó que se ha de introducir un número de inscripción en el registro
industrial, la DGT manifestó que se pide el impuesto de actividades económicas. En definitiva
, sobre la documentación que se ha de recoger y verificar que siguen reuniendo tales
requisitos, actualización de registros de entidades asociadas para no permitir que aparezcan
entidades que aparecen como talleres asociados que han dado datos al LTE, y, sin
embargo, son titulares de otro tipo de actividad.
-Control del diseño de exactitud y veracidad de datos, apreciándose registros de antes de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
69/78
la entrada en vigor del LTE.
Evidencias todas ellas que contribuyen a considerar que, en el diseño de la operación de
tratamiento, la finalidad y su contenido, no se tuvieron en cuenta elementos imprescindibles
organizativos y técnicos para, en consideración de los elementos que intervienen en el
tratamiento y los riesgos para los derechos y libertades, se hubieran identificado, evaluado
y adoptado medidas para mitigarlos.
Así, la DGT ha estado tratando datos personales sin haber analizado los riesgos para los
derechos y libertades de los interesados, y sin adoptar las medidas para garantizar el principio
de licitud, no conoce las cláusulas informativas a través de las cuales los talleres recogen
el consentimiento ni la información que se les facilita, ni para observar el principio de
exactitud, o las encaminadas al cumplimiento del principio de transparencia, del que el específico
artículo 14 del RGPD formaría parte.
El requisito descrito en el artículo 25 del RGPD es que los responsables del tratamiento deben
integrar la protección de datos en el diseño del tratamiento de datos personales y
como opción por defecto, y esto es aplicable durante todo el ciclo de tratamiento. La PDDD
también es obligatoria para los sistemas de tratamiento que ya existían antes de que el
RGPD entrase en vigor. Los responsables deben velar por que el tratamiento se actualice
sistemáticamente con arreglo al RPGD.
La infracción del artículo 25.1 del RGPD se contiene en el artículo 83.4 del RGPD que
indica:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio
total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a
39, 42 y 43;?
A efectos del cómputo de su prescripción, la LOPDGDD señala en su artículo 73:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para aplicar de forma efectiva los principios de protección de datos desde el
diseño, así como la no integración de las garantías necesarias en el tratamiento, en los
términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.?
VIII Medidas de seguridad
Otra infracción que se imputa a la DGT es la del artículo 32 del RGPD, que indica:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
70/78
?Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el
alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de las personas físicas, el responsable y
el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos, en particular como consecuencia de la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos
datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un
mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para
demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente
artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que
cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga
acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del
responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los
Estados miembros.?
En cuanto a las opciones y posibilidades que proporciona a los talleres la aplicación
informática para la anotación de los datos de mantenimiento/reparación que se envían a
través de la plataforma del LTE a la DGT, los talleres asociados pueden acceder a dichos
datos de cualquier vehículo, conociendo la matrícula o el bastidor a través del que se
efectúa la búsqueda. Bastaría pues con introducir esos datos, para poder efectuar su
consulta, y si el vehículo tuviera reparaciones anteriores por el sistema de LTE, acceder a
las mismas, fuera o no el taller en el que se hicieron las previas actuaciones, ?así como al
historial de ITVs? con los kms. en dicha revisión de ITV.
Estos accesos se producían según la DGT para facilitar sus tareas y funciones solamente
a los talleres asociados al LTE.
Partiendo de la base ya mencionada de que los talleres carecen de habilitación legal para
trasladar los datos del LTE a la DGT (reparaciones/mantenimiento del vehículo por el
titular) en base a la legitimación alegada por la DGT de un interés público, y que la DGT de
acuerdo con la doctrina de vinculación positiva de la administración a la legalidad debe
ajustarse en su actuación a lo previsto en normativa para actuar, carecerían los talleres de
habilitación para poder visionar los datos de los titulares de vehículos que llevan los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
71/78
mismos a reparar a esos talleres, dado que no están habilitados para aquel traspaso y por
tanto no tiene sentido que se facilite algo para lo que no se está facultado, dado además
que a los talleres no asociados al sistema no se les dio, ni se les da la misma facilidad de
cumplimiento de tareas a través de la consulta a tales datos.
Declarado que no se ajusta a la normativa de protección de datos el enviar datos de los talleres
al LTE de la DGT, al no existir de acuerdo con la normativa de protección de datos
base legitimadora, se ha de entender que como tercero ha tenido y tiene acceso a datos de
mantenimiento/reparaciones de los vehículos, lo cual no es acorde con la vigente normativa
de protección de datos examinadas las cuestiones que envuelven el citado LTE.
La medida de seguridad que se incumple es la referida a ese aspecto, por lo que las alegaciones
a la propuesta sobre el resto de los elementos de seguridad efectuadas por la SG
de Movilidad y Gestión carecen de virtualidad para enervar aspecto alguno sobre este punto
concreto que se acredita no solo por la manifestación expresa de la reclamada, sino por
la constatación en la web de CETRAA y la afirmación de varios talleres.
En el presente supuesto, debe tenerse en cuenta que el Registro de Vehículos es un
registro encomendado a un ente público, en el que los datos en él contenidos son
recabados de las personas titulares de vehículos en base a las potestades públicas, y con
las finalidades y límites que señala el artículo 2 del RGV antes transcrito, y concordantes,
artículo que permite igualmente el acceso al citado RV a los interesados o a terceras
personas que ostenten un interés legítimo y directo, lo que requiere su valoración caso a
caso, sin que se deban incluir accesos libres, indeterminados, en este caso de talleres
asociados al sistema LTE, aunque se dispusiera de trazabilidad en las consultas.
Que los talleres suelan acceder a petición del titular de los datos, no quiere decir que la
configuración de acceso al RV a los talleres asociados, cumpla con la confidencialidad al
permitirse el acceso a datos de no clientes del mismo taller, por la falta de medidas
técnicas y organizativas, por cuanto además de ser un medio fácil, las matrículas
permanecen a la vista de cualquiera.
Ello supone una configuración de accesos por parte de su responsable, la DGT, que
evidencia la falta de las medidas de seguridad que se establecen en el citado artículo 32
del RGPD.
La infracción se contiene en el artículo 83.4 del RGPD que indica:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio
total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a
39, 42 y 43;?
A efectos del cómputo de su prescripción, la LOPDGDD señala en su artículo 73:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
72/78
siguientes:
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en
los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.
IX Registro de actividades del tratamiento
La base de legitimación que contempla la DGT para las operaciones de tratamiento
relacionadas con el registro de vehículos es el cumplimiento de una obligación legal. A la
cuestión que se le planteó a la DGT de si se contemplan las operaciones de tratamiento
relacionadas con el LTE en el Registro de las Actividades de Tratamiento -RAT-, la
reclamada señaló que se hallarían incluidas en el RAT de ?registro de vehículos?, y
atendería a la misma base legitimadora que figuran referenciados los datos, el
cumplimiento de una obligación legal.
En el RAT de la DGT, ?registro de vehículos?, figuraba como más destacable:
Fines del Tratamiento: Gestión de los datos personales asociados a las matrículas de
vehículos registrados
Base legal (legitimación) RGPD. - Artículo 6.1. c) el tratamiento es necesario para el
cumplimiento de una obligación legal aplicable al responsable del tratamiento,
mencionándose diversa normativa aplicable (LSV, RGV etc.). Art. 6.1.e) del RGPD.
Categorías de destinatarios, entre otros, consta ?ciudadanos con interés legítimo?.
Plazo de supresión: Se conservarán durante el tiempo preciso para cumplir con la finalidad
para la que se recabaron y determinar las posibles responsabilidades que se pudieran
derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en
la normativa de archivos y documentación.
Sin embargo, ni se contiene en dicho registro alusión alguna a las operaciones de
tratamiento relacionadas con el LTE, (reparaciones/mantenimientos de
vehículos/kilometrajes/siniestros), que tiene una finalidad distinta a la que prevé el Real
Decreto que rige el RV, atendiendo a la pretendida mejora de la seguridad vial y la garantía
mayor que supondría para la venta de vehículos de segunda mano, o evitar los trucajes de
los cuentakilómetros. Estos fines son propios y autónomos de esta operación de
tratamiento y como tal, forman una sección propia en el RV incrementado los datos que se
contendrían en el mismo, por lo que se tendrían que contemplar en el RAT.
La DGT ha infringido el artículo 30 del RGPD, que indica:
1. Cada responsable y, en su caso, su representante llevará un registro de las actividades
de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la
información indicada a continuación:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del
representante del responsable, y del delegado de protección de datos;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
73/78
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos
personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización
internacional, incluida la identificación de dicho tercer país u organización internacional y,
en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la
documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías
de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de
seguridad a que se refiere el artículo 32, apartado 1.
2. Cada encargado y, en su caso, el representante del encargado llevará un registro de
todas las categorías de actividades de tratamiento efectuadas por cuenta de un
responsable que contenga:
a) el nombre y los datos de contacto del encargado o encargados y de cada responsable
por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o
del encargado, y del delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización
internacional, incluida la identificación de dicho tercer país u organización internacional y,
en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la
documentación de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de
seguridad a que se refiere el artículo 30, apartado 1.
3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en
formato electrónico.
4. El responsable o el encargado del tratamiento y, en su caso, el representante del
responsable o del encargado pondrán el registro a disposición de la autoridad de control
que lo solicite.
5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni
organización que emplee a menos de 250 personas, a menos que el tratamiento que
realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea
ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9,
apartado 1, o datos personales relativos a condenas e infracciones penales a que se
refiere el artículo 10.?
En la LOPDGDD se desarrolla en su artículo 31, que indica:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
74/78
?1. Los responsables y encargados del tratamiento o, en su caso, sus representantes
deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30
del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su
apartado 5.
El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá
especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las
demás circunstancias establecidas en el citado reglamento.
Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de
protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el
contenido del registro.
2. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un
inventario de sus actividades de tratamiento accesible por medios electrónicos en el que
constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su
base legal.
La infracción se contiene en el artículo 83.4 del RGPD que indica:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio
total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a
39, 42 y 43;?
A efectos del cómputo de su prescripción, la LOPDGDD señala en su artículo 74:
?Se consideran leves y prescribirán al año las restantes infracciones de carácter
meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del
Reglamento (UE) 2016/679 y, en particular, las siguientes:
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la
información exigida por el artículo 30 del Reglamento (UE) 2016/679.?
La reclamada alegó que no puede entrarse en tal detalle de hacer constar los tratamientos
derivados del LTE que entiende incorporados al RV por ser también datos de vicisitudes
que sufren los vehículos. Sin embargo, este es un elemento esencial en la información que
afectaría a los usuarios del sistema, entre otros también a los titulares de los vehículos en
las reparaciones que efectúan, teniendo en cuenta que Una actividad de tratamiento
responde a una finalidad sobre los datos personales de un determinado colectivo de
personas, por ello la nueva finalidad del tratamiento debió incorporarse al RAT. Además, el
cumplimiento del art. 30 del RGPD también exige que se describan las categorías de datos
personales que se tratan cuestión que el RAT de la DGT debería haber contemplado
respecto de los nuevos datos, circunstancias todas ellas que se exigen a los responsables
para demostrar la conformidad con el RGPD. Esta falta de elementos esenciales se
configura como leve, diferente de si no se dispusiera del RAT en modo alguno, que es
calificada como grave en la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
75/78
X Sanción y adopción de medidas
El artículo 58.2 del RGPD dispone lo siguiente: ?Cada autoridad de control dispondrá de todos
los siguientes poderes correctivos indicados a continuación:
?d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento
se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada
manera y dentro de un plazo especificado;?
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
[?]?
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas
mencionadas en el presente apartado, según las circunstancias de cada caso particular
;?
La imposición de cualquiera de estas medidas es compatible con la sanción consistente en
multa administrativa, según lo dispuesto en el art. 83.2 del RGPD.
Considerando que la reclamada es una entidad pública, el artículo 83.7 del RGPD señala:
?Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo
58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué
medida, imponer multas administrativas a autoridades y organismos públicos establecidos
en dicho Estado miembro.?
El régimen aplicable a dichas entidades se acota en su artículo 77 de la LOPDGDD, que
indica:
?1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que
sean responsables o encargados:
[?]
?c) La Administración General del Estado, las Administraciones de las comunidades
autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de
las Administraciones Públicas.?
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna
de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la
autoridad de protección de datos que resulte competente dictará resolución sancionando a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
76/78
las mismas con apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se
hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que
dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de
interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos
propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de
aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite
la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran
sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá
una amonestación con denominación del cargo responsable y se ordenará la publicación en
el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las
comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo
de este artículo.?
En el presente supuesto, se considera que tal y como está implementado y se describe, el
mecanismo del proyecto de LTE, sistema y medios instaurados, la DGT como responsable
del tratamiento de datos que incluyen datos de carácter personal del titular del vehículo que
acude a reparar/mantener el vehículo y del que los talleres han proporcionado a la DGT
tales datos, los de los kilómetros y los de siniestros de los vehículos, no se ajusta a la
normativa vigente del RGPD ni de la LOPDGDD, incurriendo en las citadas infracciones.
Ante las faltas detectadas en las operaciones de tratamiento de los datos que forman parte
del LTE, en la parte del Registro de vehículos, el apartado LIBRO TALLER, mientras no
exista legitimación del tratamiento analizado, debe suspenderse la continuación de uso del
sistema, el traspaso de datos por los talleres y la entrega a los peticionarios de informes de
vehículo completo que contenga dichos datos, al no encontrarse adecuados al RGPD y
LOPDGDD. En el mismo sentido, debe suspenderse el uso de la herramienta de intercambio
y acceso de datos IDEX de los talleres a la DGT, así como el uso de la plataforma por los
talleres, imposibilitando también los accesos en modo consulta por matriculas o bastidor de
los vehículos por parte de los talleres asociados.
Se advierte que no atender la posible orden de adopción de medidas impuestas por este
organismo en la resolución sancionadora podrá ser considerado como una infracción
administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo
83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento
administrativo sancionador.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
77/78
Con el fin de garantizar los derechos y libertades de los titulares de los datos, que además
concurre la necesidad y justificación de adoptar poderes correctivos que se determina en la
parte dispositiva, el artículo 90.3 de la LPCAP indica que ?la resolución que ponga fin al
procedimiento será ejecutiva cuando no quepa contra ella ningún recurso ordinario en vía
administrativa, pudiendo adoptarse en la misma las disposiciones cautelares precisas para
garantizar su eficacia en tanto no sea ejecutiva?
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación
de las sanciones cuya existencia ha quedado acreditada,
la directora de la Agencia Española de Protección de Datos,
RESUELVE:
PRIMERO: SANCIONAR A la DIRECCIÓN GENERAL DE TRÁFICO, con NIF Q2816003D,
con un apercibimiento por cada una de las siguientes infracciones del RGPD:
- artículo 6.1, del RGPD, de conformidad con el artículo 83.5 a) del RGPD y a efectos de
prescripción de la infracción calificada como muy grave en el artículo 72.1.b) de la
LOPDGDD.
- artículo 25, del RGPD, de conformidad con el artículo 83.4 a) del RGPD y a efectos de
prescripción de la infracción calificada como grave en el artículo 73.d) de la LOPDGDD.
- artículo 32, del RGPD, de conformidad con el artículo 83.4 a) del RGPD y a efectos de
prescripción de la infracción calificada como grave en el artículo 73.f) de la LOPDGDD.
- artículo 30, del RGPD, de conformidad con el artículo 83.4 a) del RGPD, y a efectos de
prescripción de la infracción calificada como leve en el artículo 74.l) de la LOPDGDD
SEGUNDO: IMPONER en aplicación del art. 58. 2.f), del RGPD, a la DIRECCIÓN
GENERAL DE TRÁFICO, con NIF Q2816003D, una ?limitación temporal del tratamiento? en
tanto se adopte una disposición legal que legitime el tratamiento de los datos en el Libro
Taller que abarque todo el sistema de recogida, registro y uso de datos del sistema LTE, en
aras de salvaguardar los derechos y libertades de los titulares de los vehículos.
La medida de limitación deberá llevarse a cabo en el plazo de TRES MESES, contado desde
la notificación de esta resolución, y a tal fin, deberá justificar ante esta Agencia Española de
Protección de Datos la atención del presente requerimiento.
La falta de atención a la citada limitación temporal puede dar lugar a la comisión de una
infracción del artículo 83.6 del RGPD,
TERCERO: NOTIFICAR la presente resolución a la DIRECCIÓN GENERAL DE TRÁFICO.
CUARTO: COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de
conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
78/78
QUINTO: Esta resolución será ejecutiva una vez finalice el plazo para interponer el recurso
potestativo de reposición (un mes a contar desde el día siguiente a la notificación de esta
resolución) sin que el interesado haya hecho uso de esta facultad.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de
la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con
arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa,
en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto,
según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado
manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el
caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a
la Agencia Española de Protección de Datos, presentándolo a través del Registro
Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de
alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del
recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-250923
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es