Resolución de la Agencia Española de Protección de Datos PS-00062-2019 de 02 de diciembre de 2020

Cuestión

1 / 46

Procedimiento Nº PS/00062/2019

RESOLUCIÓN : R/00560/2020

En el procedimiento sancionador PS/00062/2019, instruido por la Agencia Española

de Protección de Datos al AYUNTAMIENTO DE ALGEMESÍ , vista la denuncia presentada

por A.A.A. , y en base a los siguientes...

Contestacion

1/46

? Procedimiento Nº PS/00062/2019

RESOLUCIÓN: R/00560/2020

En el procedimiento sancionador PS/00062/2019, instruido por la Agencia Española

de Protección de Datos al AYUNTAMIENTO DE ALGEMESÍ, vista la denuncia presentada

por A.A.A., y en base a los siguientes

ANTECEDENTES

PRIMERO: A.A.A. (en adelante, la reclamante) con fecha 9/08/2018 interpuso reclamación

ante la Agencia Española de Protección de Datos. contra el AYUNTAMIENTO DE

ALGEMESÍ, (en adelante, reclamado).

Los motivos en que basa la reclamación son que ?Se ha ordenado por la Alcaldía al

departamento de Informática del Ayuntamiento el acceso a mi ordenador en base a unas

presuntas irregularidades cometidas por mí que no han sido justificadas y se ha hecho sin

mi consentimiento y violentando mis claves de acceso personales. La documentación

obtenida sin seleccionar aquella que es personal e íntima ha sido difundida a otros

miembros y a prensa?.

La reclamante presta servicios para el reclamado como ***PUESTO.1. Declara que el

27/03/2018 se le notifica un acuerdo del Pleno, de fecha ***FECHA.1, por el que se

solicitaba a los órganos responsables de la Comunidad Autónoma, Dirección General de

Administración Local, la incoación de un expediente disciplinario, por la comisión de

determinadas infracciones tipificadas en la legislación de función pública.

Junto a la reclamación, aporta:

1) Copia firmada con el recibí de la reclamante, de 27/03/2018, del acuerdo de notificación

de solicitud de incoación de expediente disciplinario, adoptado por el Pleno el ***FECHA.1, a

propuesta de la Alcaldía, en escrito de 20/03/2018, relatándose los siguientes argumentos y

situaciones:

a. El punto uno de la propuesta, se refieren los hechos relacionados con la presentación de

la reclamante de un justificante de asistencia emitido por el Ayuntamiento de Valencia a jornadas

de formación, figurando que se emite el 2/03/2018 certificado por el servicio de formación

del Ayuntamiento de Valencia de qué esa jornada no existía, información que había

sido solicitada el 23/02/2018

b. En el punto segundo de la propuesta de alcaldía se indica: ?que al haber aparecido

documentos en el escáner y la impresora que podrían suponer que la reclamante realiza

actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que

ver con sus funciones de ***PUESTO.1 y que incluso podrían resultar incompatibles,

mediante providencia de la Alcaldía de fecha ***FECHA.3 se ordena al departamento de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/46

Informática que investigue los documentos del ordenador personal de trabajo para aclarar

esos hechos?. ?De la inspección efectuada se obtuvieron varias carpetas de documentos

personales sobre actividades privadas que se grabaron en un CD.?

c. El resto de la propuesta valora la competencia para la instrucción y resolución del

procedimiento disciplinario que se propone incoar, determinando que la competencia

corresponde a la Generalitat Valenciana, Dirección General de Administración Local (DGAL

en lo sucesivo) si fuera falta grave, o al Ministerio de Hacienda y Función Pública, si fuera

muy grave.

d. Consta en la propuesta que se emitió dictamen de la Comisión informativa de economía,

gestión administrativa y personal el ***FECHA.2.

e. En el acuerdo, se resuelve: remitir copia del expediente a la DGAL, indicando las posibles

faltas que se consideran cometidas, figurando entre otras como muy graves la de

incumplimiento sobe normas de incompatibilidades, la realización dentro de la jornada

laboral de manera reiterada o con ánimo de lucro de algún tipo de actividad personal o

profesional y como grave, entre otras, emplear o autorizar para usos particulares medios o

recursos de carácter oficial. En los documentos que forman parte del expediente que se

envía, figura en su punto 7 ?Providencia de la alcaldía de ***FECHA.3 ordenando al

departamento de informática la revisión del ordenador del trabajo de la funcionaria?. En el

punto 9: ?DVD en el que figura la documentación extraída del ordenador del trabajo de la

interesada que evidencia la realización dentro de la jornada laboral de otras actividades

personales y profesionales que además podrían resultar incompatibles con su puesto de

trabajo?

2) ?Providencia de la Alcaldía?, firmada el ***FECHA.3 ,que indica ?Considerando que se

han encontrado documentos-impresora y escáner- de la funcionaria ?sobre actividades que

nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo

como ***PUESTO.1 del Ayuntamiento?y que pueden resultar incompatibles con su puesto

de trabajo?,

DISPONE: ?Que por el Departamento de informatica se acceda al ordenador de trabajo de

la funcionaria, a fin de comprobar la existencia de documentos que evidencien actividades

diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene

encomendadas???Todo ello se realizará desde el cumplimiento de la normativa de

Protección de Datos de carácter personal y con la máxima confidencialidad destinado a la

información que se puede obtener solamente a los efectos de los expedientes que a la vista

de los documentos puedan iniciarse destinando la información que se pueda obtener

únicamente a los efectos de los expedientes a la vista de los documentos obrantes puedan

iniciarse.?

3) ?En fecha 24/03 (antes de mi notificación del acuerdo de Pleno) se produce una

filtración a prensa de los datos relativos al inicio del expediente y, por tanto, de parte del

contenido de los documentos obtenidos en la intervención del ordenador siendo portada en

los medios de comunicación de mayor tirada en la Comunidad Valenciana. Esta publicación

añade un elemento de tensión y presión familiar y social sobre mí que ha hecho que sea

muy duro emocionalmente incorporarme cada día a mi puesto de trabajo y seguir realizando

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/46

mis funciones?. Adjunta impresión de diario LEVANTE, de ***FECHA.4 con el titular

?***NOTICIA.1? ?El ayuntamiento de Algemesí acusa a su actual ***PUESTO.1 de

***INFRACCION.1?. En la noticia se contiene el nombre y primer apellido señalando que ?el

Ayuntamiento de Algemesí ha propuesto a Presidencia de la Generalitat la apertura de un

expediente disciplinario por faltas muy graves contra B.B.B., (?) que en la actualidad

trabaja como ***PUESTO.1 de la citada localidad.?? La alcaldía, que ha remitido el

expediente a la Dirección General de Administración Local (competente para sancionar a

funcionarios con habilitación nacional) considera que B.B.B. pudo cometer numerosas

infracciones, entre ellas, ***INFRACCION.1. Además, se le achaca, siempre según el

documento, el incumplimiento de las normas sobre incompatibilidades al constar que en su

tiempo de trabajo realizaba?

También se indica que ?documentos que aparecieron en el escáner y la fotocopiadora

levantaron las sospechas y la alcaldía ordenó al departamento de informatica que

investigara los documentos de su ordenador. Tras la inspección se encontraron varias

carpetas de documentos personales sobre actividades privadas que se encuentran

grabadas en un DVD?.

4) ?El 10 de julio recibo notificación de la Dirección General de Administración Local de

la Generalitat Valenciana por la que se me comunica el Inicio del expediente sancionador

por idénticos motivos a los alegados en el acuerdo de denuncia (que es así como lo define

el acuerdo de la Generalitat) remitido por el Ayuntamiento de 22/03. Se adjunta como

DOCUMENTO nº11.

5) Aporta copia de escrito dirigida a la reclamante por el reclamado de 11/04/2018 en

el que señala que ?en relación al escrito presentado por usted el 10 de abril del 2018

solicitando a los documentos del expediente completo?, y le informa que los documentos que

se enviaron junto a la convocatoria a los miembros de la comisión informativa de personal

son los mismos que lo los que se adjuntaron al escrito del regidor que suscribió el

9/04/2018, qué se le ha notificado a usted el mismo día, que vuelve a enumerar, sin que

entre ellos se haga mención al DVD, ni a concretos documentos hallados en el escáner. La

reclamante manifiesta que además de tomarse el acuerdo sin saber de qué documentos se

trata, ?no figuran los documentos aparecidos en el escáner y la impresora? que justifican,

según el acuerdo, la posterior intervención del ordenador, ni a ella le han sido entregados,

-Indica:

A-?De la tramitación de dicho expediente y por supuesto de la intervención de mi

ordenador tuve conocimiento el mismo día con la comunicación del Acuerdo por lo que

todas las actuaciones previas que se realizaron fueron efectuadas sin mi conocimiento y, por

tanto, sin mi consentimiento.?,

B- ?solicitó información a la Junta de Personal del Ayuntamiento en fecha 28/03

sobre si ha tenido ese órgano conocimiento o ha sido informado de las actuaciones

investigadoras que se estaban realizando o si le fue comunicada la providencia de la

Alcaldía que ordena la intervención de mi ordenador y si estuvo presente algún

representante cuando se realizaron estas actuaciones? ?se me informa en fecha 29/03 que

no a ambas cuestiones ?. Acompaña dos escritos, uno firmado por la reclamante dirigido a

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/46

presidenta del comité de empresa en tal sentido y la respuesta a ambas cuestiones fue que

no en el escrito del comité.

C-En la documentación aportada, figura la copia del CD con la documentación

extraída de su ordenador, y que ?se entregó no solo como Anexo al acuerdo que se remitió a

la Dirección General de Administración Local, sino además a los integrantes de la Junta de

Portavoces y miembros de la Comisión Informativa de Hacienda que se celebró previa al

Pleno.?

?El CD contiene una copia íntegra de la carpeta de descargas de mi ordenador, de la

carpeta de ?Desktop? y de la carpeta de ?Descargas? y de la misma no se ha efectuado una

diferenciación de aquellos documentos que no teniendo que ver con la cuestión planteada

afectan a mi intimidad personal. Adjunto copia de las carpetas y archivos extraídos en

formato PDF (cuya justificación se acompaña como DOCUMENTO Nº5) donde aparecen

archivos personales evidentes como son mis contraseñas personales, mi declaración de la

renta, mis cuentas personales, transferencias, las rutas del colegio de mi hija, la matrícula

de la universidad, mi TFM del Máster que estoy cursando, mi certificado de deudas

tributarias con la AEAT, reservas de vuelos, nóminas, etc.?

Se debe señalar que en los dos archivos electrónicos de la reclamación del

9/08/2018, el DOCUMENTO 5 no es aportado, pasando de referir el documento 4 en el

primer envío, al 6 y siguientes en el segundo.

D-?No existe ni se me comunicaron instrucciones respecto al uso del ordenador en el

ámbito de mi trabajo que establezca las reglas de uso de estos medios (con aplicación de

prohibiciones absolutas o parciales) ni se me informó de que se pondría en marcha un control

, ni de cómo se iba a realizar o con qué medios en orden a comprobar la corrección de su

uso.?

SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los documentos

aportados por la reclamante, la Subdirección General de Inspección de Datos procedió a la

realización de actuaciones siguientes:

A) Traslado de la reclamación en escrito de 2/10/2018 a reclamado, para que de conformidad

con art. 9.4 del Real Decreto-ley 5/2018 (BOE 30/07/018) la analice, y le comunique a

la reclamante la decisión adoptada, con remisión a la AEPD de la siguiente información:

?1. Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a

propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido

la comunicación de esa decisión.

2. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.

3. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.

4. Cualquier otra que considere relevante.?

El envío fue recibido el 3/10/2018.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/46

Con fecha 7/11/2018, se recibe respuesta del DPD de reclamado, SEGURIDAD Y

PRIVACIDAD DE DATOS , aportando:

1)-Copia de respuesta a la reclamación a la reclamante, notificada telemáticamente el

6/11/2018, identificado como núm. salida ***NÚMERO.1 de 5/11/2018, que según manifiesta

es prueba de haber enviado respuesta a reclamante. Añade que se también ha enviado la

respuesta por correo certificado que aún no ha recibido los justificantes. En el escrito dirigido

a la reclamante reitera los motivos por los que se incoa expediente sancionador, y que

dentro de las atribuciones propias del Ayuntamiento, está el control de los medios propios,

utilizados por el personal a su cargo.

El escrito de respuesta, que lleva fecha 22/10/2018, en el punto quinto explica que la

base legitimadora de los datos es: ?Resulta evidente que a la vista de la existencia de documentación

conteniendo datos de carácter personal susceptibles de protección, recorriendo

las dependencias del Ayuntamiento sin control alguno, e identificándose el uso de los mismos

por Usted y por la documentación presentada aparentemente falseada, no quedaba

otro remedio que comprobar el uso adecuado y legítimo de dichos datos, y otros que usted

posiblemente estaba tratando, así como las posibles brechas de seguridad y, de existir, si

las mismas afectaban directamente (datos en poder del propio Ayuntamiento) o indirectamente

(por aplicación de la responsabilidad derivada por los actos del personal a cargo del

Ayuntamiento) al Ayuntamiento de Algemesí.

Para dichos fines y siempre dentro del respeto a la intimidad y a los derechos que a

Usted le asisten, el Ayuntamiento se vio en la necesidad de recabar datos suficientes para la

defensa de los interesados, valoración del impacto que pudiera haberse producido y para la

adecuada instrucción del expediente sancionador.?

En el punto sexto le informa que ?El Ayuntamiento no ha tenido acceso ni ha utilizado

publicado los datos de carácter personal relativos a usted salvo los necesarios a fin de cumplir

con las obligaciones de carácter laboral que le unen al mismo y cuya legitimación resulta

implícita a la propia relación existente entre ambos.?

Indica también en este punto séptimo que ?en la adopción del acuerdo de solicitar la

Incoación del expediente disciplinario adoptado por el pleno del 22 de marzo del 2018, dado

el carácter público de esa sesión, se omitió citar nombres de funcionarios relatando solo hechos

para objetivar las medidas a adoptar y para preservar la privacidad del funcionario?.

En el punto octavo del comunicado le indica que ?En el CD donde se recopiló información

, solo constan datos profesionales, algunos procedentes de trabajos al servicio del

Ayuntamiento y otros de sus trabajos personales, no datos de carácter personal suyos o de

sus familiares.?

En el punto noveno le indica ?La adecuación o no al procedimiento de lo que usted

denomina intervención que no fue más que una revisión de ciertos contenidos a efectos de

asegurarnos de la legalidad de los tratamientos de datos será dilucidada en el cauce

procesal oportuno y que en ningún caso está bajo la supervisión de la AEPD?

Le indica en el punto undécimo que frente a su manifestación de que no existen

normas de uso interno del uso de archivos, datos y su uso en el ordenador que existe como

normativa aplicable, el artículo 54.5 del Estatuto básico del empleado público que determina

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/46

que ?los funcionarios públicos administrarán los recursos y bienes públicos con austeridad y

no utilizarán los mismos en provecho propio o de personas allegadas, en parecido sentido,

el artículo 88.5 de la ley 10/010 de 9/07 de la Generalitat, Ley de ordenación y gestión de la

función pública valenciana.

2) Escrito dirigido a la AEPD informando que ha enviado a la reclamante el escrito de respuesta

en el que se informa que la actuación se ha realizado con respeto a las normas sobre

protección de datos, siendo la motivación principal, la ?defensa de datos personales de

los posibles interesados que pudiera verse en peligro por la actuación de un funcionario al

servicio del mismo?.

En cuanto a medidas adoptadas para evitar situaciones como la de la reclamación,

entre otras:

-Se ha contratado a un Delegado de Protección de Datos el 11/06/2018, ha publicado

el registro de tratamientos.

-?Se pasó un documento a todos los empleados del 18/10/2018 sobre confidencialidad

y medidas de seguridad, y prohibiciones adaptado al RGPD? (indica que se adjunta el

documento, si bien no se aporta) y se ha iniciado el expediente sobre la aprobación de la

política de seguridad de la información.?

TERCERO: Con fecha 14/11/2018 la directora de la AEPD acuerda admitir a trámite la

reclamación.

CUARTO: Se recibe escrito de la reclamante de 28/02/2019, informando que se halla en

trámite un procedimiento penal en el seno del cual tuvo conocimiento de la respuesta a su

reclamación, emitida por el DPD con la que no está de acuerdo con los motivos que explica

motivaron el acceso a su equipo informático por no corresponderse con los hechos puestos

de manifiesto en el comunicado de acuerdo para la incoación de procedimiento disciplinario.

Principalmente, indica que no se aportaron los documentos que se recogen el acuerdo,

documentos que habían generado las sospechas para el acceso del ordenador.

QUINTO : Se recibe escrito de la reclamante de 21/03/2019 (folios 145 y ss.) en el que

adjunta declaraciones de diversas personas físicas, entre otros la ***PUESTO.2 C.C.C., el

***PUESTO.3 D.D.D., funcionarios de la entidad reclamada., ?delito contra la intimidad?

previas XXX/2018, en el que figura como denunciante la reclamante.

Aporta copia de las declaraciones de:

a) D.D.D. de 20/03/2019, en el sentido de que para acceder al contenido del equipo

informático de la reclamante lo hizo como administrador, sin necesidad de acudir físicamente

al mismo, pues ?? la mayor parte de la información está en la red, en los servidores?, y otra

en ?ordenador ?el ordenador era propiedad del ayuntamiento?? No llegó a ver los

documentos encontrados en la impresora y escáner? ?no tuvo que acceder a ninguna clave

de usuario de la querellante porque entró con la clave de administrador ?Por correo

electrónico le llegó la providencia?, si bien no recuerda si accedió al equipo de la reclamante

ese día o al día siguiente. Manifiesta que en conversación con la ***PUESTO.2, esta

descartó la opción de acceder al equipo con la presencia de la reclamante. ?Le dijo la

***PUESTO.2 que había que hacer una inspección de documentos? ?De la carpeta mis

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/46

documentos que se encuentra en los servidores aunque cada usuario solo puede ver la

suya, el declarante cogió las carpetas que había en mis documentos de la querellante y

además, otros documentos del ordenador de la querellante del escritorio, siendo dos o tres

carpetas? ?Los seleccionó y los copió en un DVD, conforme a las instrucciones recibidas por

la ***PUESTO.2.? ?El DVD no se encriptó y se lo dio personalmente a la ***PUESTO.2 en el

momento en que lo grabó? ?No llegó a abrir ningún documento ?Cuando se hizo la

intervención del ordenador, no se hacía ninguna advertencia a los funcionarios sobre el

contenido de la información que se podía tener en los ordenadores, porque no había

entrado en vigor el RGPD y no era necesario? ?no se hizo ningún acta de intervención, el

declarante estaba? solo cuando se hizo y se lo entregó directamente a la ***PUESTO.2, sin

tampoco ningún acta de diligencia? ?desconoce si la ***PUESTO.2 mostró a los Concejales

el contenido del DVD?.?A fecha de hoy el Ayuntamiento no está todavía ajustado al esquema

nacional de seguridad? y que ??Todos los funcionarios saben que el administrador tiene

acceso a toda la documentación y que tiene copias de seguridad? ?No entró en el correo

electrónico ni en los datos de navegación?.

b) De la jefa y encargada de gestión de personal de 20/03/2019. Se indica que fue la

persona que ?redactó la providencia de ***FECHA.3 de acuerdo de intervención del

ordenador? ?La ***PUESTO.2 le dijo que tenía antecedentes previos y que tenía que

redactar una providencia para averiguar unas razones a fin de determinar si se incoaba

expediente? ?la redactó en horario de trabajo conforme a lo que la ***PUESTO.2 le minutó?

?No vio los documentos que aparecieron en el escáner? ?La ***PUESTO.2 le comentó que

quería ver si esa funcionaria estaba realizando tareas que no fueran las propias del puesto?

?Los documentos que aparecieron en el escáner no están en el expediente administrativo

que se elevó a la Dirección General? ?La declarante no le pidió a la ***PUESTO.2 esos

documentos? ?respecto a la no utilización de los medios de la administración por los

funcionarios para usos personales, conoce lo que señala el TREBEP y no se ha hecho una

comunicación interna a los funcionarios sobre esta cuestión? ?No sabe quién hizo la

comprobación del contenido del volcado? ?La ***PUESTO.2 le dijo que figuraban

documentos que no tenían nada que ver con el puesto de trabajo, que no lo recuerda pero

que dijo algo de empresas que nada tenían que ver con el ayuntamiento? ?no ha visto el

DVD? ?no sabe con quién comprobó la ***PUESTO.2 los documentos que contiene el DVD?

?De la entrega del DVD de la ***PUESTO.2 a ella no se hizo ningún acta? ?Cuando se lo dio

a la declarante ya habían comprobado el contenido y lo habían visto los concejales? y

?pasaron unos días hasta que se lo entregaron? ?La querellante solicitó una copia y se le

entregó ? ?El DVD no está puesto dentro del expediente electrónico porque para poder pasar

el expediente a la comisión informativa deben estar foliados y firmados y no se incluyó el

DVD? ?El DVD luego se remitió a la Dirección General? ?La impresora está en un pasillo

donde hay mucha gente que tiene acceso?. ?Que la querellante puso un recurso contencioso

administrativo que se ha desestimado? ?cuando el Juzgado reclamó el expediente

administrativo, se acordó no mandar el DVD? ?Sabe que por la Dirección General se incoo

expediente, nombrando instructor y secretario, y está paralizado por la prejudicialidad penal

de esta causa?.

c) De testigo, 20/03/2019, que manifiesta ?que era presidenta de la junta de personal

funcionario del ayuntamiento? ?ni la ***PUESTO.2 ni ningún funcionario le comunicó antes de

la intervención del ordenador que la iban a realizar?. ?La primera noticia que tuvo fue cuando

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/46

la querellante le presentó un escrito de ***FECHA.4??el 29/03/2018 se celebró una Junta, y

se contestó que no habían tenido conocimiento ni de la intervención ni de la documentación

ni del expediente? ?Que no se puso en contacto la declarante ni la junta de personal con la

***PUESTO.2? ?De todo lo que se enteró fue por la prensa? ?De este tema nunca ha hablado

con la ***PUESTO.2 ?En la fecha de los hechos, a los funcionarios no se les comunicaba

expresamente que no podían utilizar los ordenadores para uso personal, pero ahora sí, se

les remitió un escrito vía mail, muy farragoso comunicando que no podían utilizar los medios

materiales del ayuntamiento para usos propios? ?En la Junta no se comentó si se debería

haber citado a algún miembro de la junta de personal para estar presente en la

intervención?.

SEXTO: Con fecha 26/07/2019, la Directora de la AEPD acuerda:

?1. INICIAR PROCEDIMIENTO DE DECLARACIÓN DE INFRACCIÓN al

AYUNTAMIENTO DE ALGEMESÍ, por la presunta infracción del artículo 6.1 de la LOPD,

tipificada como grave en el artículo 44.3 b) de dicha LOPD.

2. INICIAR PROCEDIMIENTO DE DECLARACIÓN DE INFRACCIÓN al

AYUNTAMIENTO DE ALGEMESÍ, por la presunta infracción del artículo 9.1 de la LOPD, en

relación con los artículos 92, 97.1 y .2 y 101 del RLOPD tipificada como grave en el 44.3.h)

de la LOPD.

3. SUSPENDER el procedimiento nº PS/00062/2019 incoado al AYUNTAMIENTO DE

ALGEMESÍ? al constatarse la existencia de demanda penal sobre los hechos.?

SÉPTIMO: En fecha 26/12/2019, se recibe escrito de la reclamante en el que manifiesta

que se ha dictado sobreseimiento en el procedimiento penal. Aporta copia del auto

YYYY/2019 de 23/12/2019 de la Audiencia Provincial de Valencia, sección 3ª, apelación de

resolución procedimiento abreviado XXX/2018 del Juzgado de Instrucción 2 de Alzira (folio

187 y ss.). El recurso de apelación se formula tanto por la reclamante como por C.C.C.

(***PUESTO.2 del Ayuntamiento de Algemesí).

El razonamiento jurídico primero indica que comenzando por el recurso interpuesto

por la ***PUESTO.2 del Ayuntamiento de Algemesí interesa sobreseimiento de actuaciones

pues el objeto se limitó a un delito contra la intimidad permitiendo que se accediera al

ordenador utilizado por la querellante Sra. B.B.B. (***PUESTO.1 en el citado Ayuntamiento)

para comprobar si era utilizado para actividades ajenas a sus funciones municipales.

Llevado a cabo el acceso se procedió a incoar expediente disciplinario contra la querellante

por realizar dentro de la jornada laboral actividades personales y profesionales ajenas a sus

funciones.?

?Aunque en sede laboral y no contenciosa administrativa el acceso por la empresa al

ordenador de su propiedad y utilizado por sus trabajadores es cuestión debatida que han

seguido distintos criterios jurisprudenciales uno de ellos marcado por la sentencia de la gran

sala del Tribunal Europeo de Derechos Humanos de 5/09/2017 (caso Barbulescu) ha venido

a armonizarlo y a concretar ??En la jurisprudencia penal se ha podido pronunciar sobre esta

cuestión al examinar la alegación de la nulidad de prueba obtenida mediante la sentencia

del Supremo de 23/10/2018 recurso 1674/2017 n 498/2018 qué señala que en la citada

sentencia ?acudiendo a la clásica técnica, se habla de la insoslayable necesidad de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/46

ponderar los bienes en conflicto. De una parte el interés del empresario en evitar o descubrir

conductas desleales o ilícitas del trabajador. Prevalecerá sólo si se atiene a ciertos

estándares que han venido a conocerse como test Barbulescu.

Se enuncian criterios de ponderación relacionados con la necesidad y utilidad de la

medida, la inexistencia de otras vías menos invasivas, la presencia de sospechas

fundadas?Algunos se configuran como premisas de inexcusables concurrencia. En

particular no cabe un acceso inconsentido al dispositivo de almacenamiento masivo de

datos si el trabajador no ha sido advertido de esa posibilidad y/o además no ha sido

expresamente limitado el empleo de esa herramienta a las tareas exclusivas de sus

funciones dentro de la empresa (los usos sociales admiten en un grado y según los casos

como se ha dicho, el empleo para fines personales creándose así un terreno abonado para

que genera una expectativa fundada de privacidad que no puede ser laminada o pisoteada).

El resto de los factores de ponderación entran en juego para inclinar la balanza en

uno u otro sentido sólo si se cuenta con ese presupuesto. En otro caso, habrá vulneración

aunque existe necesidad, se use un método poco invasivo etc.?

Y continúa diciendo que ?esta es la clave que nos permite resolver este asunto.

Podrían existir razones fundadas para sospechar y entender que el examen del ordenador

era una medida proporcionada para esclarecer la conducta desleal y evaluar los perjuicios,

se buscó además una fórmula lo menos invasiva posible pero faltaba un prius inexcusable.

Si existiese esa expresa advertencia o instrucción en orden a la necesidad de limitar el uso

del ordenador a tareas profesionales (de lo que podría llegar a derivarse una anuencia tácita

al control, o, al menos, el conocimiento de esa potestad de supervisión) y/o además alguna

cláusula conocida por ambas partes autorizando la empresa medidas como la aquí llevada a

cabo o si se hubiera recabado previamente el consentimiento de quien venía usando de

forma exclusiva o el ordenador (en caso de negativa nada impedía recabar la autorización

necesaria) pocas dudas podrían albergarse sobre la legitimidad de la actuación indagatoria

llevada a cabo por la empresa. Pero en las circunstancias en que se llevó a cabo hay que

afirmar que el ordenamiento ni consiente, ni consentía en la fecha de los hechos, tal acción

intrusiva por ser lesiva de derechos fundamentales?

?Es inevitable recordar que los criterios citados se expresaban para determinar la

validez de la prueba obtenida del acceso al ordenador utilizado por el trabajador, cuestión

que obviamente, requiere una mayor exigencia que cuando, como en el caso de autos no se

plantea la mera regularidad a efectos probatorios del acceso al ordenador sino su

calificación como delictiva?

Alude al ejemplo de la sentencia del Tribunal Supremo de 14/10/2011 recurso

10365/2011 nº 1045/2011, señalando que el delito de descubrimiento y revelación de

secretos del artículo 197 del código penal requiere en el elemento subjetivo una conducta

típica que ha de ser dolosa, pues no se recoge expresamente la incriminación imprudente.

Continúa indicando que ?Sin entrar a valorar la regularidad o irregularidad de la actuación de

la señora ***PUESTO.2 y sin necesidad de determinar el valor probatorio que puedan tener

los archivos obtenidos, no puede calificarse como penalmente relevante la actuación del

apelante por razones que expone?, y ?estima penalmente irrelevante la actuación de la

señora ***PUESTO.2 con relación a los archivos guardados por la querellante en el sistema

informático del Ayuntamiento (ordenador y servidor) y, en consecuencia, se estima

procedente el sobreseimiento de las actuaciones que ha interesado la apelante aunque

siempre sin perjuicio de valor probatorio que en otra jurisdicción pueda atribuirse a la

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/46

información así obtenida o incluso de la responsabilidad administrativa en que haya podido

incurrir en virtud de la legislación de Protección de Datos.?

?Procede en consecuencia estimar el recurso interpuesto por la representación de C.C.C.?

Alude el fallo también en el fundamento de derecho tercero, final a la ?sentencia del juzgado

de lo Contencioso administrativo 7 de Valencia el ***FECHA.5 que desestimó la demanda

interpuesta por la querellante contra el acuerdo del Ayuntamiento de solicitar la incoación de

expediente disciplinario contra la misma, demanda en la que entre otras alegaciones aludía

a la vulneración de sus derechos por la decisión de la ***PUESTO.2 de acceder a su ordenador ?.

OCTAVO: Con fecha 17/01/2020, se remite escrito al Juzgado solicitando certificación de la

situación del procedimiento y se recibe escrito de 12/03/2020, del Juzgado de Primera

Instancia e Instrucción nº 2 de Alzira que remite diligencia de constancia en la que se indica

que en fecha 23/12/2019, la Audiencia Provincial de Valencia ?acuerda el sobreseimiento

provisional, el cual es firme, por lo que el procedimiento penal se encuentra archivado?. Se

indica el procedimiento abreviado XXX/2018, delito contra la intimidad, contra varias

personas entre las que se incluye C.C.C., o D.D.D. por mencionar solo alguno.

NOVENO: Con fecha 23/03/2020 se acuerda LEVANTAR la SUSPENSIÓN del

procedimiento sancionador incoado al AYUNTAMIENTO DE ALGEMESÍ, y continuar su

tramitación, produciéndose la efectiva recepción el 2/06/2020. Transcurrido el tiempo

otorgado, no se reciben alegaciones.

DÉCIMO: Con fecha 22/06/2020 se acuerda iniciar un periodo de practica de pruebas, y

practicar las siguientes:

1. Dar por reproducidos a efectos probatorios la reclamación interpuesta y su

documentación, los documentos obtenidos y generados por los Servicios de Inspección ante

el reclamado, AYUNTAMIENTO DE ALGEMESÍ, y las actuaciones que forman parte del

expediente E/06844/2018.

2. Asimismo, se da por reproducido el escrito de la reclamante sobre comunicación de

la sentencia de la AP Valencia que resuelve el asunto penal y las diligencias remitidas y

recibidas con el Juzgado sobre dicho asunto.

Además, se amplían las pruebas a las siguientes:

3. A RECLAMADO, se le solicita, aporte o informe sobre:

3.1) En el acuerdo del pleno del Ayuntamiento de ***FECHA.1 que recoge la solicitud de

incoación de expediente disciplinario formulada por la ***PUESTO.2, se contiene:

a-Se emitió dictamen de la COMISIÓN INFORMATIVA DE ECONOMÍA, GESTIÓN

ADMINISTRATIVA Y PERSONAL el ***FECHA.2. A este respecto, se solicita que informen la

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/46

normativa que faculta su petición y emisión, y si se le entregó copia del DVD conteniendo lo

extraído del equipo informático de la reclamante.

En el mismo sentido, si dicho DVD, en dicha fecha o antes, fue enviado, mostrado o

traspasado a algún cargo público, grupo municipal, etc., explicando el motivo.

Se recibe respuesta de 6 y 07/7/2020, manifestando que la solicitud de incoación se

tenía que adoptar en el Pleno, por lo que se ha de incluir el asunto en el orden del día. ?En

el orden del día solo pueden incluirse asuntos que hayan sido previamente dictaminados por

la Comisión Informativa (artículo 82.2 del Real Decreto 2568/86 de 28/11 por la que se

aprueba el Reglamento de organización funcionamiento y régimen jurídico de las entidades

locales, ROF. ?

Declara que el DVD solo se envió a la DGAL, añadiendo que ?fue mostrado? a un

único miembro de los grupos políticos que tenía que votar en el Pleno, ?pues sin saber el

motivo difícilmente podían justificar su voto ?No se mostraron los documentos en detalle.

Únicamente la relación existente en las carpetas copiadas explicándoles el caso. Con el

nombre de los documentos ya se deduce que se trataba de asuntos ajenos al puesto de

trabajo?.

Aporta DOCUMENTO DOS que es un escrito del Secretario Delegado de la

Comisión Informativa de Economía, gestión administrativa, y personal de 10/01/2019 en el

que indica que en la sesión celebrada el 21/03/2019 sobre el asunto de incoación de

expediente disciplinario a la reclamante, se envió el 20/03/2018 documentación a través de

la aplicación informática del Ayuntamiento a todos los regidores que conforman la

Corporación, y a la interventora y secretario general. En ninguno de los documentos que

menciona como remitidos figura referencia al DVD, si a la providencia de la alcaldía de

***FECHA.3 que ordena al departamento de informatica el acceso al ordenador de trabajo

de la reclamante ?para comprobar la existencia de documentos que evidencien actividades

diferentes a las funciones que como ***PUESTO.1 del Ayuntamiento tiene encomendadas?.

Se indica en el apartado segundo del escrito que ?no se facilitó ninguna copia de ningún

documento contenido en el DVD y tampoco se mostró el contenido a los miembros

asistentes a la comisión informativa? . ?El 22/03/2019 se envió el dictamen adoptado por la

comisión informativa a través de la aplicación informatica al Secretario General y a una

administrativa adscrita a este, al objeto de su inclusión en el orden del día de la sesión del

pleno?.

Alude fuera de la cuestión a que la sentencia RRR-2019 del Juzgado de lo

Contencioso Administrativo 7 de Valencia, concluye que procede la desestimación de la

demanda por no haber quedado acreditado que la actuación realizada por la Corporación

Local resulte contraria a las determinaciones contenidas en el precepto invocado, que

establece su obligación de emitir una propuesta razonada sobre los presuntos hechos

cometidos y la autoría de los mismo y remitirla al órgano correspondiente de la Comunidad

Autónoma a la que pertenezca, señalando asimismo la normativa de aplicación el deber de

que una a dicho escrito la documentación estime pertinente, sin que haya quedado

acreditada la vulneración de derechos que alega la recurrente, pues la no intervención de la

interesada en este fase previa no resulta suficiente para decretar la nulidad de lo actuado?

Tampoco ha quedado acreditada la vulneración del derecho a la intimidad que denuncia ni la

filtración a la prensa o a los grupos políticos, pues estas cuestiones han sido negadas de

contrario y ninguna prueba se ha practicado que acredite las manifestaciones en este punto

de la actora. Por todo ello procede la desestimación de lo solicitado?. Aporta como

acreditación, DOCUMENTO UNO, entrada ***NUMERO.2 ***FECHA.6 que contiene la

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/46

sentencia de ***FECHA.5 contra la que cabe recurso de apelación. La sentencia indica que

la reclamante interpuso la demanda contra el acuerdo del pleno del Ayuntamiento de

***FECHA.1 que acordó solicitar la incoación del expediente disciplinario

b-En el punto dos, se indica que ?aparecieron documentos en el escáner y la impresora que

podrían suponer que la funcionaria realizaba actividades personales y profesionales dentro

de la jornada de trabajo que nada tenía que ver con las funciones encomendadas?. A este

respecto, por guardar relación esta cuestión con el acceso y habilitación a los equipos

informáticos, se les solicita Informe sobre cómo han documentado dichos hallazgos de la

documentación hallada en escáneres e impresora, si existe diligencia o algún tipo de

documento que indique fechas en que el hallazgo se produce, persona que halla esos

documentos, concreción de los documentos a través de la remisión de una copia al menos

representativa de los mismos, y modo en que se han incorporado al expediente y

conservado desde su hallazgo).

En segundo lugar, si no se hallaron dichos documentos, expliquen el motivo de

porque se accede al equipo informático.

Manifiesta que esos hallazgos no fueron documentados, ?únicamente se custodiaron

en el ***DEPARTAMENTO.1?. ?Posteriormente, comprobando que algunos documentos aún

estaban en el escáner, sí que se levanta acta de los existentes y se copian en un CD que se

encripta con contraseña. El CD se encuentra en un sobre cerrado y firmado por los

asistentes, custodiado por el inspector de policía local presente en dicho acto.?? Se adjunta

como DOCUMENTO TRES, acta de cumplimiento de providencia del regidor delegado de

personal de 7/11/2019 en la que:

-acceden a una dirección de ?acceso a la unidad escáner Algemesí.net/ficheros (W) que

señalan y revisan los ficheros existentes en esa unidad que parezcan ajenos al trabajo que

se desarrolla en ***DEPARTAMENTO.1, figurando 20 relaciones numéricas algunas

comienzan por 2017, 2018 y 2019, pudiendo referirse el resto de numeración a la fecha?.

Indican que a continuación, un empleado procede a grabar una copia de los documentos

existentes en este momento en la mencionada unidad en un dispositivo externó protegido

con una contraseña registrada el archivo de contraseñas del departamento de informática y

se guarda este dispositivo externo en un sobre firmado por todos los asistentes.

Figura DOCUMENTO CUATRO, ?PROVIDENCIA DEL CONCEJAL SOBRE

DOCUMENTOS ESCANER DE 6/11/2019? que del literal se desprende que en la solicitud de

apertura de expediente disciplinario contra la reclamante, ?se hace referencia a una serie de

documentos encontrados en la carpeta informática de escaneo del ***DEPARTAMENTO.1

que podrían suponer que la funcionaria realizaba actividades personales o profesionales

dentro de la jornada de trabajo que nada tenían que ver en sus funciones como

***PUESTO.1 y que incluso podrían resultar incompatibles. ?El ***DEPARTAMENTO.1 está

formado por tres funcionarios, la propia ***PUESTO.1, un técnico (?) y una auxiliar

administrativa. Los documentos que figuran en la carpeta de escáner del departamento son

visibles por todos los funcionarios que forman parte del mismo, al tratarse de una carpeta

compartida. Según se indica desde el ***DEPARTAMENTO.1, en la carpeta compartida de

escáner todavía quedan documentos de la funcionaria B.B.B. ajenos al trabajo que

desarrolla en el ayuntamiento como ***PUESTO.1.? ?disponiendo que uno de los tres

empleados que señala, acceda a la carpeta compartida del escáner de este departamento y

proceda a la extracción e impresión de los documentos mencionados.?? levantando acta?

que firman diversos empleados como asistentes. Señala que el responsable de informatica

guardará copia de los documentos extraídos en un dispositivo externo protegido,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/46

custodiándolo uno de los asistentes, citándose a los asistentes al acto, que tendrá lugar el

7/11/2019.

3.2 Copia de la resolución sancionadora recaída por los hechos contenidos en la orden de

incoación de disciplinario.

Se responde que el expediente no está finalizado, pues quedó suspendido por la

interposición de la reclamante de procedimiento penal, que quedó archivado con auto de

sobreseimiento provisional , en el que no se apreció delito, figurando copia en

DOCUMENTO CINCO.

El 10/03/2020 se produjo el levantamiento de la suspensión del procedimiento,

figurando en copia en DOCUMENTO SEIS.

3.3 Copia del DVD conteniendo el resultado de los accesos al equipo informático de la

reclamante y copia de la entrega a la reclamante cuando lo solicita.

Se contiene en DOCUMENTO SIETE que no se puede enviar por sede electrónica y

se envía un DVD, siendo el registro de entrada de 15/07/2020 número ***NUMERO.3 que la

clave para desencriptarlo figura en el escrito de manifestaciones presentado en la Agencia,

refiriéndose al de entrada de 6/07/2020( remite por sede electrónica señalando la

contraseña para la apertura). Al abrirse, se observa una estructura de DOCUMENTO

SIETE, ALGEMESÍ, y tres carpetas, capacidad de los datos almacenados, 1,71 GB:

-carpeta 1 denominada DESKTOP, traducción escritorio, propiedades: 31.335 KB,

cuatro carpetas, 80 archivos Figuran entre otras, la carpeta CLAVES PERSONALES, de la

clave de portal del empleado, borradores contrato cesión actividad ópticas, contraseña

acceso Ayuntamiento Algemesí de la reclamante , documento certificado titularidad de

cuenta de la Caixa de la reclamante, nómina de abono a empleado de empresa franquicia

***EMPRESA.1

-carpeta 2 denominada DOWNLOADS, descargas, propiedades: 1.824.810 KB, 1049

archivos.

información sobre franquicia ***EMPRESA.1, cuenta de resultados SPA, facturas de

empresa de fotografía a nombre de otra persona.

-carpeta 3 denominada MIS DOCUMENTOS, 8 carpetas siendo las más relevantes:

? C.C.C. PERSONAL, con 14 carpetas y 7 archivos. Se contienen por mencionar

alguna parte de sus contenidos, la renta de la reclamante presentada en 2015, en la carpeta

T CUENTAS E.E.E. información sobre nota de reparos en un expediente, parece que es

información de tipo profesional desarrollada en el Ayuntamiento, Contrato de seguro con

ZURICH motor de un vehículo a nombre de la reclamante fecha de efecto de vigencia del

contrato 23/07/2015, listado de cuentas anuales pérdidas y ganancias del ejercicio 2017 de

la empresa ***EMPRESA.3 , documentos sobre una sociedad que se dedica al negocio de

la óptica denominada ***EMPRESA.4 , nómina de mes de noviembre 2016 de la reclamante,

solicitud aplazamiento impuesto plusvalía de 2/12/2016, alegaciones sobre un procedimiento

sancionador del Ayuntamiento de Valencia, documento de reconocimiento de situación

económica entre la reclamante y otra persona, recibos y adeudos de esa tercera persona así

como documentos a ella referidos

? EXPTES VALLADOS SOLARES,

? INSTRUCCIONES GEST DOC,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/46

? PENDIENTE, vacía

? TEMAS PERSONAL. Figura la nómina de 8/2016 de la reclamante, certificados de

temas de personal, DNI escaneado, fotografía y títulos de la reclamante , clave máster

usuario y contraseña, currículo para realizar un máster en el INAP.

- En DOCUMENTO OCHO se contiene un escrito de 10/04/2018 dirigido a la

reclamante en relación con la remisión de copia de documentos del expediente ?completo

relativo al orden del plenario del Ayuntamiento de ***FECHA.1 sobre la posible apertura de

un expediente disciplinario, ?solicitado el 10/04/2018?, entre los que se comprende el

?dictamen de la Comisión informativa de personal? no figurando relacionado el DVD extraído

de su ordenador.

También se le informa de los documentos que se enviaron a los miembros de la

? Comisión informativa de personal, figurando desde 15/02/2018 algunos relacionados con

su supuesta justificación de ausencia del trabajo el 9/02/2018 alegando asistencia a una

jornada formativa en el Ayuntamiento de Valencia y las pesquisas realizadas por la alcaldía

sobre si dicha jornada existía, certificándose por el Ayuntamiento de Valencia que no existía.

SE envió también la providencia de la alcaldía de ***FECHA.3 ordenando al departamento

de Informatica de la revisión del ordenador del trabajo de la funcionaria.

Manifiestan sobre dicho DOCUMENTO OCHO, que ? aunque figura erróneamente

que el DVD se entregó a los miembros de la Comisión informativa, sin embargo, en ningún

caso se produjo su entrega a la Comisión informativa, como queda aclarado en el

DOCUMENTO 9?. En este documento, a petición de la ***PUESTO.2 de 10/01/2019, sobre

aclaración sobre el escrito del 10/04/2018, sobre si se remitió o no a los miembros de la

comisión informativa de personal celebrada el ***FECHA.2 el DVD, se aporta el certificado

DOCUMENTO NUEVE en el que indica que aunque se relacionaba a la denunciante el

10/04/2018 que se había enviado a la comisión informativa el DVD, esto ?fue un error de

copia pega? procedente del escrito del acuerdo plenario en el que sí se solicitaba a la

Dirección General de administración local apertura de expediente disciplinario organismo al

cual si se remite el DVD para hacer competente para la evaluación del expediente

manteniendo por tanto un error de transcripción

3.4 En la remisión de copia del expediente a la DGAL de la Comunidad Valenciana no

figuraban los citados documentos hallados en el escáner en la impresora y fotocopiadora,

asociados con una eventual infracción muy grave de incompatibilidades. Se le solicita qué

informe si éstos les fueron remitidos y el motivo por el que no figuran en la relación de lo

enviado. En el mismo sentido, si se remitió diligencia de contenido del DVD, relación de

remisión de la misma.

Manifiestan que la copia de los documentos hallados en el escáner/ impresora, ?no

se remitieron inicialmente porque se entendió que con los datos facilitados a la Dirección

General eran suficientes para el inicio del expediente, como de hecho así lo estimó la propia

D. Gral. al decidir su incoación?. Relaciona los documentos que se enviaron a la DGAL el

***FECHA.4. Algunos de ellos tratan sobre la supuesta asistencia a una jornada de

formación que el Ayuntamiento de Valencia certifica no existió, la providencia de la alcaldía

de ***FECHA.3 de intervención del ordenador y la COPIA DEL DVD;?DVD en el que figura la

documentación sacada del ordenador del trabajo de la interesada que evidencian la

realización dentro de la jornada laboral de otras actividades personales y profesionales que

además podrían resultar incompatibles con su puesto de trabajo?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

15/46

Continúa manifestando que ?posteriormente, al comprobar que aun existían

documentos en el escáner, se levantó acta de dichos documentos y se recogieron en

soporte informático encriptado?, señalando el DOCUMENTO CUATRO ?providencia del

concejal sobre documentos escáner? y DOCUMENTO TRES ?acta de cumplimiento de la

providencia? y mencionados en el punto b

Finaliza indicando que ?No se hizo diligencia del contenido del DVD porque no se

abre ningún documento. Se comprueba por el título dado a los mismos que son documentos

que nada tienen que ver con el puesto de trabajo, pero no se hace un examen exhaustivo de

los mismos?.

3.6. En sus alegaciones indican que se entregó a los empleados el 18/10/2018, un protocolo

establecido sobre confidencialidad, medidas de seguridad y política de seguridad de la

información, se les solicita copia del mismo en lo referente en su caso, solo al acceso,

prohibiciones o uso de los medios de trabajo y advertencias de monitorización de equipos, si

las hubiera, y modo en que se ha puesto en conocimiento de los empleados. También se

solicita que informe sobre si antes de estos documentos, existía información sobre dichos

extremos, política sobre uso de equipos informáticos, correos electrónicos del equipo, uso

de soportes como pendrives, cds.

Manifiesta que aportan DOCUMENTO DIEZ- ANEXO II, medidas seguridad personal

que en el punto 3 refiere sobre el uso de los ordenadores, prohibiéndose almacenar ?datos

personales sin autorización? ?El empleado que desea utilizar su dispositivo personal para

finalidades empresariales tiene que comunicarlo previamente a su superior, y en caso de

autorizársele tiene que implementar medidas de seguridad oportunas que garanticen la

seguridad y confidencialidad?. También se contemplan aspectos como el uso de los correos

electrónicos, navegación por internet, que el uso del dispositivos para finalidades laborales

no se tiene que utilizar para particulares, soportes como USB o DVD, descarga de

aplicaciones.

Figura una referencia al control de la actividad laboral a través de la aplicación del

artículo 20.3 del Estatuto de los trabajadores para verificar el cumplimiento de las

obligaciones y deberes laborales, indicando que el uso particular queda completamente

excluido, no se permite el envío y recepción de mensajes privados, ni almacenamiento de

fotografías o documentos particulares. Entre los sistemas de control previstos se impone ?el

registro y la revisión de la navegación, alertas automáticas sobre envío de mensajes con

ficheros adjuntos y revisión y acceso de correos electrónicos sospechosos durante la

ausencia del usuario en caso de que sea necesario?.

3.7 Sobre la orden o diligencia de intervención del ordenador de la reclamante, se le solicita:

a-informe o aporte copia del mensaje o mensajes o escritos que se remiten a la persona a la

que se encargó el acceso al equipo (D.D.D., ***PUESTO.3, que declaró en el proceso

judicial que ?Por correo electrónico le llegó la providencia?, se solicita que envíen copia del

mismo). Modo, explicación o instrucciones que existían o se dieron para articular los

accesos al equipo informático. Expresamente, si se indicó el acceso al correo electrónico y

si se obtuvieron datos de este.

Responde que figura en DOCUMENTO ONCE la notificación a través del gestor

documental como adjunto por email. En la copia que se ve al abrir el documento se ve un

correo electrónico de ***FECHA.3 enviado desde dominio Algemesí.net asunto envío

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

16/46

Ayuntamiento Algemesí, con el texto ?te adjunto la providencia de la alcaldía, envío desde

GEstdoc., y se ve un literal ?providencia inspección ordenador.pdf? No aparece ni se ve el

documento.

?La única instrucción que se le da, es la que indica la providencia que se adjunta como

DOCUMENTO DOCE? ?providencia revisión ordenador sobre cumplimiento de la normativa

de datos de carácter personal y máxima confidencialidad?. El DOCUMENTO 12 que no lleva

fecha, firmado por la ***PUESTO.2 reseña que dado que se han encontrado documentos

-impresora y escáner- de la funcionaria? ?sobre actividades que nada tienen que ver en las

funciones públicas correspondientes a su puesto de trabajo como ***PUESTO.1 del

ayuntamiento de Algemesí y que podrían resultar incompatibles con su puesto de trabajo?

DISPONGO,

Que por el departamento de informática se acceda al ordenador de trabajo de la funcionaria

A.A.A. a fin de comprobar la existencia de documentos que evidencian actividades

diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene

encomendadas.

Todo aquello se realizará siempre desde el cumplimiento de la normativa de protección de

datos de carácter personal y con máxima confidencialidad destinando la información que se

pueda obtener a los solos efectos de los expedientes que a la vista de los documentos

obrantes puedan iniciarse?

?En ningún caso se accede al correo electrónico de la interesada ni se ordena dicho acceso

en la providencia.? Se adjunta informe sobre el acceso a los datos como informe de

informática, DOCUMENTO TRECE, que firma D.D.D. sin verse la fecha. Se indica que

?Realiza un volcado de documentos en apoyo digital, el cual entregó a la alcaldía?. ?De los

documentos extraídos en la mencionada tarea de volcado, parte de los mismos estaban

alojados en una carpeta conectada en red a uno de los servidores del Ayuntamiento?. No se

señala extremo alguno por la persona que accedió, a si extrajo datos de correos

electrónicos.

b-Sobre si la ***PUESTO.2 que firma la intervención en el equipo se hallaba con el Sr.

D.D.D. cuando este accedió a la carpeta de mis documentos de la reclamante, y motivo por

el que accedió además a otros documentos del ordenador de la reclamante, situados en el

?escritorio?, y que bases o parámetros de búsqueda se tenían antes de acceder al equipo.

Manifiesta que el acceso al ordenador lo hace desde el ordenador de D.D.D., no

desde el ordenador de la reclamante y que la ***PUESTO.2 no estaba presente. El

***PUESTO.3 plasmó en DOCUMENTO TRECE dicho acceso.

c-En el DVD se copiaron tres carpetas conteniendo información almacenada, y no se hizo

diligencia de fecha, ni de su contenido, no se registró como soporte de información, ni se

diligenció la entrega de copia a la ***PUESTO.2. A este respecto, informen si conocían que

cualquier soporte que contenga información, datos de carácter personal que como en este

caso se destinan a pruebas en un procedimiento, tenían que estar detallado el modo de

acceso, el contenido al que se accede, el resultado, fecha, numero de soporte de registro o

encriptación del mismo, y registros de copias identificadas del soporte, si existían normas al

respecto, y si se le hizo saber a Sr. D.D.D.. Ha de indicar asimismo que normas sobre la

cuestión existen actualmente sobre copias de soportes con información y datos de carácter

personal.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

17/46

Manifiesta que si bien el DVD es un soporte, al formar parte de un expediente

disciplinario, ?no constituye un soporte a los efectos de la normativa entonces aplicable, el

RLOPD RD 1720/2007.?

Añade que el Ayuntamiento dispone de un sistema de gestión de seguridad de la

información conforme al Esquema Nacional de Seguridad,(ENS) existiendo un inventario de

soportes. Aportan DOCUMENTO CATORCE, normativa de seguridad en el que se

contempla el mantenimiento y destrucción de dispositivos y soportes que contenga

información protegida y el régimen de salidas y entradas de datos. El documento se titula

?normativa de seguridad 4/09/2018, consta de 13 páginas. Se refieren entre otros aspectos a

la confidencialidad, integridad y trazabilidad, y su aplicabilidad en el servicio expedientes de

personal y se habla de un comité de gestión y coordinación de la seguridad de la

información. Adjuntan copia de DOCUMENTO QUINCE, sobre reutilización y destrucción de

soportes de equipos. El documento lleva fecha 25/10/2018, consta de siete páginas. Trata

sobre procedimiento que describe la metodología a seguir para reutilización, borrado y

destrucción de soportes de información propiedad del Ayuntamiento, aplicable a los

elementos que componen los sistemas de información dentro del ámbito de aplicación del

ENS. Indica como elementos de soporte, elementos que están adquiridos que ha sido

inventariados y etiquetados referido a soportes y equipos. En ese sentido no se menciona ni

se entra en detalles sobre los soportes físicos que tratan la información como el DVD sino

que está protocolo se refiere a equipos, sí que menciona los soportes no regrabables como

los DVD o CD indicando que el procedimiento de destrucción puede ser cortándolo pero no

menciona la integración de estos soportes como sistemas de información que contienen

datos.

4. A LA RECLAMANTE, se le solicita que en el plazo de diez días aporte copia o informe

de:

-Copia de sentencia recaída en contencioso administrativo sobre el asunto disciplinario, si es

firme, o situación procesal de la misma.

-Según manifestó: el ***FECHA.5 se desestimó la demanda interpuesta contra el acuerdo

del Ayuntamiento de solicitar la incoación de expediente disciplinario contra la ***PUESTO.2,

demanda en la que entre otras alegaciones aludía a la vulneración de sus derechos por la

decisión de acceder a su ordenador. Se le solicita copia de la sentencia de dicha demanda

por poder contener algún pronunciamiento de relevancia para los hechos sobre el acceso al

equipo informático.

La reclamante no contestó a lo solicitado.

DÉCIMO PRIMERO: Con fecha 22/09/2020 se acuerda ampliar pruebas y se envía al

reclamado la petición de la siguiente información:

1) Si conoce si ha recaído ya resolución acuerdo en el procedimiento disciplinario,

aporte copia, o indique en qué fase se encuentra.

Respondió el 7/10/2020 que lo desconoce.

2) Sobre los documentos que aportó en pruebas, en la mayoría no figuran la fecha de

su firma, consta:

?Y, para que conste y tenga los efectos que correspondan, libro este documento a

petición de la Sra. ***PUESTO.2, C.C.C..

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

18/46

Algemesí a la fecha de la firma. Documento firmado electrónicamente.

Código de verificación al margen.?

En otros la firma es de otra autoridad, pero el hecho es que no se visionan dichas

fechas. Por ello, con el fin de aclarar las fechas de firma de cada escrito, se pide que se

subsane aportando copia en la que se puedan ver las fechas o una relación de los

documentos, excepto la/s sentencia/s y en los documentos que lleven fecha como el de

documento de seguridad -esquema nacional, que forman parte de cada archivo, con el título

y la fecha en que esa firma electrónica del documento tuvo lugar.

Manifiesta:

-?En lengua valenciana sí que figuran las fechas, y no figuran por haberse traducido

al castellano para este procedimiento. DOCUMENTO 4, ?providencia del concejal sobre

documentos escáner es de 7/11/2019.?

-?El DOCUMENTO TRES, ?acta de cumplimiento de la providencia?, tiene la fecha en

el propio documento, 7/11/2019.?

3) En DOCUMENTO TRES se relacionan solamente los códigos de unos documentos

que figuraban en una carpeta del escáner, y se dice que se imprimieron y se copiaron los

documentos y se guardaron en un CD. A tal efecto, se solicita que envíen alguna muestra

documental física de esos documentos hallados relacionando número-documento de que se

trate, y como derivaron que correspondían a la reclamante, (pueden remitirlo bien sea en

papel bien sea en un CD), y detallen:

Manifiestan que aportan en DOCUMENTO 18, fichero encriptado con contraseña en

un escrito separado, los documentos que figuran en el CD. (El código para abrirlo se halla

en el mismo escrito de entrada 7/10/2020, número registro ***NUMERO.4, figurando como

escrito de salida del remitente, ?personal de 6/10/2020?, folio 327 del procedimiento.

Manifiesta que el código de cada documento es el propio nombre del archivo. ?Se

dedujo que podían pertenecer a la reclamante por aparecer en el escáner de

***DEPARTAMENTO.1, al cual solo tenían acceso las tres personas del mismo, que

comprobaron que allí se alojaban documentos ajenos a las funciones propias del puesto de

trabajo y que incluían el nombre de la reclamante? .

Se aprecia que el documento 18 no es recibido.

3.1) Si los empleados conocían que cualquier fotocopia o documento que se

escaneara-fotocopiara, queda guardado en dicha carpeta del dispositivo.

Manifiesta que dentro del marco establecido en el Estatuto básico del empleado

público, articulo 54.5 que determina que los funcionarios públicos administrarán los recursos

y bienes públicos con austeridad, y no utilizaran los mismos en provecho propio o de

personas allegadas, no era necesario reiterar las obligaciones de uso con los medios

públicos -Ayuntamiento-, pues si se regulara el uso de cualquier bien público, como es el

escáner, adquirido con dinero público en un edificio público destinado a funciones públicas,

se produciría una hipertrofia de normas infra legales. Considera que ?No rige expectativa de

privacidad alguna siendo indiferente si los documentos que se envían a la fotocopiadora o el

escáner quedan archivados en alguna carpeta del propio dispositivo?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

19/46

Añade que se informó a los empleados de las medidas de seguridad a aplicar

mediante el ANEXO II, medidas seguridad personal, aportado ya como DOCUMENTO 10,

en el que se expresaba tanto la prohibición de uso personal o privado de los recursos del

Ayuntamiento como de la obligación de borrar los archivos temporales, con el siguiente

tenor:

(?)14. Queda prohibido utilizar los recursos de los sistemas a que tenga acceso

para uso privado o para cualquier otra finalidad diferente de las estrictamente

laborales del Ayuntamiento de Algemesí.

(?)11. Todos los ficheros temporales que los usuarios mantengan en sus

ordenadores personales tienen que ser borrados una vez haya acabado el motivo para el

cual fueron creados.

3.2) -Si existía o existe norma aplicable sobre régimen de copias/escaneos de

documentos.

Manifiesta que a ello se refiere la normativa de seguridad SGSI02 aportada como

DOCUMENTO 14 que indica:

?7.2 Uso, mantenimiento y destrucción de dispositivos o soportes que contengan

información protegida ?17) La impresión o fotocopia de documentos debe limitarse

únicamente aquellos que sean estrictamente necesarios y preferiblemente a doble cara. Los

documentos desechados, incluidas las fotocopias erróneas no podrán ser reutilizados

cuando contengan datos personales o información confidencial o restringida debiéndose

proceder a su inmediata destrucción?.

3.3) -Si los empleados podían o han podido efectuar para sí, escaneos de

documentos privados sobre permisos, bajas médicas, etc.

Responde que queda contestada en el punto 3.1.

3.4)- Explique si cualquier empleado puede visualizar e imprimir cualquier documento

que se haya fotocopiado o escaneado, o si hay un administrador que puede ver y fotocopiar

dichos documentos.

Indica que los documentos fotocopiados no se almacenan en ningún soporte cuyo

contenido pueda ser consultado posteriormente.

En cuanto a los documentos escaneados, ?hasta el primer trimestre del 2020, cada

Departamento disponía de una carpeta alojada en los servidores, en la cual se depositaban

los documentos escaneados desde los equipos multifunción. A la carpeta de cada

Departamento sólo tenían acceso los miembros de dicho departamento y los

administradores del sistema.?

Actualmente, cada usuario dispone de su propia carpeta personal de documentos

escaneados, con acceso exclusivo del usuario y los administradores del sistema.

-Si estos documentos hallados se han comunicado a alguien relacionado con el

procedimiento.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

20/46

Señala que los hallazgos en ? la impresora, no fueron documentados?, pasando a su

custodia al ***DEPARTAMENTO.1. Respecto a ?los documentos del escáner, en un principio

tampoco se documentaron ni se levantó acta?. ?Posteriormente, comprobando que algunos

aún estaban en el escáner, sí que se levanta acta de los existentes y se copia en un CD que

se encripta con contraseña. El CD se halla en sobre cerrado y firmado por los asistentes,

custodiado por el Comisario de la policía local dentro de una caja fuerte en su despacho,

bajo llaves. No se ha comunicado a nadie su contenido a excepción del presente

procedimiento ante la AEPD?

4) En DOCUMENTO 9 aportado en pruebas indican que si enviaron el DVD a la DGAL -

encargada de la apertura e instrucción del disciplinario, si bien indican que no lo hicieron en

un primer envío y no figura en la relación, se les solicita que remita copia del escrito en el

que se contenga la fecha y la remisión del DVD, si se incluyó algún elemento para que se

supiera que era copia, se enviaba encriptado y si contenía alguna identificación como

soporte físico que contiene datos de carácter personal que correlacione su contenido e

identificación.

Manifiesta que el DVD se entrega presencialmente por registro de entrada a la

DGAL, junto con el resto de la documentación del expediente disciplinario para evitar

cualquier pérdida o extravió. ?No se entrega encriptado?. Adjuntan copia del envío del

Ayuntamiento de ***FECHA.4 a la DGAL, del acuerdo del pleno de ***FECHA.1 que acuerda

solicitar el inicio de procedimiento disciplinario a la misma, con el listado de la

documentación que se acompaña, donde aparece en el noveno, el DVD.

Manifiesta que en DOCUMENTO 17, justificante del registro de entrada en dicha

entidad, de fecha 18/04/2018, junto con el escrito de la ***PUESTO.2 solicitando se

incorpore al expediente disciplinario el DVD fue presentado por registro presencial ante la

imposibilidad de adjuntarlos por la plataforma de la DGAL. El documento tiene un justificante

de entrada de documentos presentados por el reclamado con cinco documentos pdf

asociados; denominados Formulario de datos personales, oficio remisión, acuerdo del pleno,

documentos del expediente, ficha de la trabajadora. Acompaña un escrito de la

***PUESTO.2, dirigido al órgano competente de la instrucción del procedimiento, de

19/04/2018, en el que indica que en relación con el requerimiento del 17/04/2018 para que

se presentará por medios electrónicos el acuerdo del pleno del ***FECHA.1, se indica que

en la plataforma de la Consejería para presentar en registro no permite adjuntar archivos

que exceden de cierta capacidad, y que el DVD está integrado por centenares de

documentos y que no se puede aportar uno a uno, por no ser operativo y a causa de ello ya

que en el DVD se encuentra información importante, se ha presentado por el registro

presencial.

5) Un DVD es un soporte físico que además de como en este caso, poder contener datos

profesionales del empleado es susceptible de contener otros datos de carácter personal e

información sobre la entidad. Todos ellos además susceptibles de producir efectos jurídicos

para la afectada y responsabilidades (perdida del DVD, copia, etc.) .En este caso además

forma parte de un expediente disciplinario que constituye una serie de trámites ordenados

con datos de carácter personal que identifican a la persona. Por tanto se les cuestiona que

indiquen que medidas técnicas y organizativas tomaron con respecto al DVD para la identificación

e integración en el expediente como soportes, donde se guarda, quien tiene acceso

físico, que medidas de seguridad físicas hay en esa dependencia si se registra y contenidos

y accesos al mismo, con el fin de evitar riesgos como sustracciones, copias, envíos parcia-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

21/46

les o totales de contenido. Si hay un protocolo de respuesta en caso de incidencia, periodo

de conservación, que medidas contemplan en las copias de soportes que se puedan remitir

a otras entidades, cuantas copias del DVD se han efectuado en este procedimiento, y si este

tipo de soportes físicos por tamaño o por otras causas es una excepción en el almacenamiento

de la información en sus sistemas de gestión.

Indica que se han realizado dos copias del DVD, una para ser entregada al órgano

competente de la instrucción del procedimiento, y otra que queda en poder del

Ayuntamiento como parte necesaria del expediente de referencia. La copia del Ayuntamiento

que ha servido para una posterior copia solicitada por la Agencia se encuentra custodiada

en una caja fuerte en el despacho del Comisario de Policía local, dotado de puerta con llave.

En cuanto a la normativa sobre el uso y destrucción de soportes, ?que contengan

información protegida?, el documento de seguridad que figura aportado en DOCUMENTO

14, indica en su punto 7.2 que ?cuando la información sea calificada como ?restringida o

confidencial? deberá guardarse en los lugares designados al efecto por el responsable de la

unidad correspondiente al final de la jornada, en todo caso al abandonar el puesto cuando

su conformación no permita que esté bajo el control de algún usuario?. Por otro lado, el

tamaño del DVD no permite almacenamiento en el gestor de expedientes digitales y este

tipo de soportes físicos es una excepción en el almacenamiento de la información de los de

sus sistemas de gestión. En cuanto a los controles de acceso físico y lógico, el documento

de seguridad indica que el acceso físico a áreas que contengan información confidencial o

restringida, solo se permite al personal autorizado por responsable de la unidad

correspondiente. En este sentido el comisario de la policía local es el único que dispone de

la llave de su despacho. ?

5) En pruebas aportaron DOCUMENTO 13, que firma D.D.D. sin verse la fecha. Se indica

que ?Realiza un volcado de documentos en apoyo digital, el cual entregó a la alcaldía?. ?De

los documentos extraídos en la mencionada tarea de volcado, parte de los mismos estaban

alojados en una carpeta conectada en red a uno de los servidores del Ayuntamiento?

-Se le solicita que explique según se deduce del relato:

? Repercusiones que tiene o que supone la afirmación ?que parte de los mismos estaban

alojados en una carpeta conectada en red a uno de los servidores del ayuntamiento?, y

a que se refiere con parte, y si puede identificar que carpeta es esa parte.

? En el mismo sentido que implicación tiene a nivel informático que el resto no estuviera

en su caso conectado a un servidor del Ayuntamiento, si ello era así.

Manifiesta que la fecha del documento es de 26/10/2018. Detalla que una carpeta

alojada en un servidor se incluye en las copias de seguridad diarias que realiza el

organismo. Se trata de la carpeta ?mis documentos?, al cual para todos los usuarios es

alojada en los servidores para garantizar integridad y disponibilidad. A dicha carpeta solo

tiene acceso el usuario y los administradores del sistema. También señala que las carpetas

no conectadas a servidores se encuentran alojadas en el PC local que utiliza el usuario.

-Por otro lado, en DOCUMENTO TRECE que aportaron en pruebas, el técnico

informático no indica si accedió al correo electrónico de la reclamante, teniendo en cuenta

que la providencia se refería a ?se acceda al ordenador de trabajo de la funcionaria A.A.A. a

fin de comprobar la existencia de documentos que evidencian actividades diferentes a las

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

22/46

funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas. ? y se hizo un

volcado de documentos. A tal efecto, si puede acreditar esta manifestación, puede aportarla.

Responde que no se accedió al correo electrónico de la reclamante

En un segundo escrito de entrada de 7/10/2020 se adjuntan cinco documentos pdf ,

numerados, denominados ***DOCUMENTOS.1.

En el número 1, nueve páginas en el que se ve diferente documentación de la

entidad FRANQUICIA ***EMPRESA.1 de los que se deduce que podría ser parte de los

documentos hallados en el escáner. Se aportan distintos documentos entre los que se ha de

mencionar, dos de extinción de relación laboral de empleados de dicha empresa, un

certificado de empresa del Servicio público de empleo estatal, pedido por la administradora

de la entidad, la reclamante, sobre cotizaciones de una de las empleadas, o la petición de

un certificado de empresa para la solicitud de incapacidad temporal, de 4/08/2017, nóminas

de esas empleadas.

En número 2 de ***DOCUMENTOS.1, cuatro folios, documento de extinción de

relación laboral de otra empleada, de 4/08/2017.

En el 3, cuatro folios conteniendo carta de extinción de relación laboral de una

empleada de la misma entidad.

El documento 4, un documento firmado el 4/08/2017 por la reclamante como

administradora única de la franquicia ***EMPRESA.1, dirigido a una empresa.

El documento 5, de 8 folios, también contiene carta de extinción de relación laboral

de fecha 4/08/2017 de empleado de franquicia ***EMPRESA.1, nóminas del trabajador de

julio y agosto 2017, documento de saldo y finiquito de ese trabajador, y certificado de

empresa del Servicio Público de Empleo sobre ese trabajador con sus cotizaciones.

En el tercer escrito con entrada 7/10/02020, se aportan escritos denominados

***DOCUMENTOS.1, del 6 al 10, destacando como importantes:

El 6 es una hoja de la AEAT , consulta datos fiscales 2017 de la reclamante, con sus

retribuciones en el Ayuntamiento, y figurando en el apartado de actividades económicas

otros dos pagadores así como datos de préstamos y créditos ,o titularidad de inmuebles.

El 7, ejemplar para Contribuyente, el Ayuntamiento de Alicante, impuesto sobre

bienes inmuebles con los datos de la reclamante y los inmuebles ,ejercicio 2018.

El cuarto escrito de entrada de 7/10/2020, porta los archivos adjuntos pdf números

11 a 15, ***DOCUMENTOS.1, tratándose de diligencias varias del procedimiento penal

juzgado instrucción dos de Alzira, de la reclamante.

Figura el número 15, un informe del EVI, del Ministerio de trabajo migraciones y

Seguridad Social, dirigido a la reclamante, evaluando la incapacidad sobre la contingencia

del proceso de incapacidad temporal de la reclamante de 3/04/2019 en el que se recoge el

motivo de la patología, enfermedad común, se indica que el proceso se inició con baja

médica 25/07/2018, y no guarda relación con otro proceso anterior.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

23/46

El ultimo escrito registrado con fecha 7/10/2020 contiene del número 16 al 20,

***DOCUMENTOS.1, tratándose de documentos diversos de la reclamante.

Se destaca en el 19, uno de reclamante en el que de 1/07/2019 aval en el que figura

la reclamante. En el 20, copia de una transferencia bancaria de la reclamante Bankia, con

fecha operación 18/04/2017 con los dígitos completos de la cuenta bancaria de ella.

Como quiera que no se anexaba el DOCUMENTO 18, el archivo comprimido, se

pidieron explicaciones por e mail a la DPD, así como a que respondían los documentos 1 a

20 con el nombre de ***DOCUMENTOS.1, que el mismo 21/10/2020, con respondiendo:

?Indicarle que el documento zip que correspondía al doc. 18 no pudo ser enviado de

forma protegido debido a que el sistema no permite el envío de documentos en este

formato. Este documento se trataba de una carpeta comprimida con 20 documentos.

Por ello, este documento zip que era el n 18 incluía los 20 documentos enviados

denominados ***DOCUMENTOS.1, desde el núme.ro 1 al 20; inclusive. ?

Ello queda trascrito en diligencia de Instructor ese mismo día.

DÉCIMO SEGUNDO: Con fecha 4/11/2020 se notifica propuesta de resolución con el

literal:

?Que por la Directora de la Agencia Española de Protección de Datos se declare la

infracción del artículo 6.1 de la LOPD del AYUNTAMIENTO DE ALGEMESÍ, tipificada como

grave en el artículo 44.3.b) de la LOPD.

Que por la Directora de la Agencia Española de Protección de Datos se declare la

infracción del artículo 9.1 de la LOPD en relación con los artículos del RLOPOD: 92, 97.1 y .

2 y 101, del AYUNTAMIENTO DE ALGEMESÍ, tipificada como grave en el artículo 44.3,.b)

de la LOPD.?

DÉCIMO TERCERO: Con fecha 17/11/2020 se presenta escrito de SEGURDADES, DPD de

la reclamada en que se verifica que no se adjuntan. Se subsana el día 25/11/2020.

En las mismas se reitera lo manifestado, añadiendo:

1) No es aplicable la expectativa de privacidad a unos bienes titularidad pública, del

patrimonio de la administración local, que por su ?régimen? no pueden dar lugar a que exista

esa tolerancia de usos. No es asimilable la aplicación de la doctrina ?Barbulescu? a una

entidad pública.

El Ayuntamiento como Administración Pública no tiene las facultades que puede tener

una empresario de auto organización, dirección control y fijar las condiciones de uso de los

medios informáticos asignados a cada trabajador, si bien el Ayuntamiento sí que tiene la

obligación de proteger el patrimonio público y velar por que se destine a su finalidad pública,

por lo que la obligación de verificar y asegurar que no se utiliza para finalidades particulares

es ineludible en el contexto de la administración pública. Considera ,como ha remarcado la

sentencia del Tribunal Supremo 594 /2018 de 8/02, en el fundamento jurídico sexto, que ?la

clara y previa prohibición de utilizar el ordenador de la empresa para cuestiones

estrictamente personales nos lleva a afirmar que si no hay derecho a utilizar el ordenador

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

24/46

para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que

impongan un respeto a la intimidad o al secreto de las comunicaciones porque al no existir

una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable

de intimidad y porque si el uso personal es ilícito, no puede exigirse al empresario que lo

soporte y que además se abstenga de controlarlo ?

2) Manifiesta su disconformidad con la afirmación de que no existe norma expresa que

advierta de que no se puedan utilizar los dispositivos para uso privado, pues existen normas

con rango de ley que prevén además un régimen sancionador. Indica que tratar de imponer

la creación o aprobación de documentos de seguridad, o códigos de conducta internos o

protocolos vulneraría el principio de jerarquía normativa. Añade que una administración que

permitiera un uso del ordenador del trabajo aunque fuera muy puntual y en tasadas tareas,

sería contrario al propio Estatuto Básico del empleado público y a la normativa disciplinaria,

que son normas con rango de ley. Manifiesta que incluso la mera tenencia de la reclamante

en su ordenador de documentos particulares referentes a una o varias empresas, aunque

sea en guardado, y no acreditara incumplimiento de incompatibilidades, puede suponer en

beneficio de la reclamante, supone un uso de medios del Ayuntamiento para almacenar

documentos ajenos a la función pública para fines particulares contrarios al Estatuto Básico

del Empleado Público y legislación autonómica concordante.

3) Manifiesta que la revisión del ordenador se produjo por un hallazgo casual de la

documentación en el escáner y sobre el volcado íntegro del contenido de las carpetas del

ordenador de la reclamante en el DVD, su proporcionalidad y necesidad, manifiesta su

disconformidad con la afirmación de la AEPD de que la investigación requiere cierta

indagación en una dirección, no pudiendo constituir la investigación en un volcado de datos

y manifiesta Ayuntamiento que esa fase de averiguación no es ni siquiera una parte del

procedimiento incoado por lo que no tiene vocación de generar ni valorar prueba en su

sentido procesal y su valoración deberá llevarse a cabo por otro órgano en la

correspondiente fase del procedimiento disciplinario. El Ayuntamiento no puede asumir

funciones de valoración de la prueba previas a la incoación del expediente y debe aportar la

documentación que resulte pertinente, siendo ya posteriormente el instructor y órgano

competente quienes delimiten, amplíen o reduzcan el alcance de la actividad probatoria.

4) En relación con la infracción del artículo 9.1 de la LOPD indica que no puede ser de

aplicación en consecuencias sancionadoras el régimen de obligaciones de la legislación

anterior al RGPD, pues en base al principio de retroactividad de las disposiciones

sancionadoras que favorecen al infractor debe de aplicarse el citado RGPD. Indica que las

conductas que describe el tipo del artículo 9.1 en el 44.3 h) de la LOPD, en el actual

reglamento y normativa concordante, LOPDGDD, en cuanto a la tipificación resulta más

favorable porque el actual régimen no está vinculado a la adopción de una lista concreta de

medidas, sino que tal como dispone el artículo 73.1.f) se refiere a falta de adopción de

medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de

seguridad adecuado al riesgo del tratamiento en los términos exigidos por el artículo 32.1 del

reglamento, sin establecer ahora unas obligaciones concretas en el sentido del ya derogado

RLOPD.

?En consecuencia sería aplicable el artículo 26.2 de la ley 40/2015 que indica las

disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto

infractor o al infractor, tanto en lo referido a la tipificación de la infracción como a la sanción

y a sus plazos de prescripción incluso respecto a las sanciones pendientes de cumplimiento

al entrar en vigor la nueva disposición?. Indica que las nuevas medidas establecidas o que

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

25/46

se derivan del artículo 73.f) del RGPD, en relación con el 32.1 del mismo, no vincula el

cumplimiento de las obligaciones de seguridad del responsable del tratamiento a unas

medidas concretas sino que se originan a través del enfoque de riesgo y que en tal sentido

no se ha valorado durante el procedimiento la concurrencia de las previsiones que señala el

citado artículo 32 del RGPD como actividad probatoria pertinente para declarar este tipo de

infracción.

HECHOS PROBADOS

1) La reclamante prestaba servicios en el Ayuntamiento de Algemesí como funcionaria

con habilitación de carácter nacional, como ***PUESTO.1.

2) A la reclamante le es entregado el 27/03/2018 un acuerdo de notificación de solicitud

de incoación de expediente disciplinario adoptado por el Pleno el ***FECHA.1 a propuesta

de la alcaldía, de 20/03/2018. Entre los hechos relatados, junto a la justificación de

asistencia a unas supuestas jornadas de formación por el reclamado, y faltas de justificación

horaria, se indica en el punto segundo, qué: ?al haber aparecido documentos en el

escáner y la impresora que podrían suponer que la reclamante realiza actividades personales

o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones

de ***PUESTO.1 y que incluso podrían resultar incompatibles, mediante providencia

de ***FECHA.3, se ordenó al departamento de informática que investigue los documentos

del ordenador personal de trabajo para aclarar esos hechos ?De la inspección efectuada

se obtuvieron varias carpetas de documentos personales sobre actividades privadas

que se grabaron en un CD?

3) En el mismo acuerdo del Pleno de notificación de inicio se remite documentación al

órgano competente para la instrucción, la Dirección General de la Administración Local de

la Comunidad Valenciana (DGAL), si bien la copia del DVD se presenta en registro por el

reclamado el 18/04/2018, manifestando que era la primera copia efectuada, que no iba

encriptado, ni portaba elemento alguno que lo identificara como soporte de su contenido.

4) La Providencia de la Alcaldía firmada el ***FECHA.3 indica: ?Considerando que se

han encontrado documentos-impresora y escáner- de la funcionaria ?sobre actividades

que nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo

como ***PUESTO.1 del Ayuntamiento?y que pueden resultar incompatibles con su

puesto de trabajo?

DISPONE: ?Que por el Departamento de informatica se acceda al ordenador de trabajo

de la funcionaria, a fin de comprobar la existencia de documentos que evidencien

actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene

encomendadas???destinando la información que se pueda obtener únicamente a los

efectos de los expedientes que a la vista de los documentos obrantes puedan iniciarse.?

5) En cuanto al modo en que se hizo el acceso al ordenador de la reclamante el ***FECHA.3

, , titularidad del Ayuntamiento, y con el que prestaba sus servicios, según indica el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

26/46

funcionario, ***PUESTO.3 que lo llevó a efecto con clave como administrador del sistema,

sin necesidad de acudir físicamente al mismo, manifestando que no vio ni le fueron mostrados

los documentos hallados en la impresora y escáner. ?Le dijo la ***PUESTO.2 que

había que hacer una inspección de documentos? ?De la carpeta mis documentos que se

encuentra en los servidores, visible solo por cada usuario cogió las carpetas que había en

mis documentos ?y además, otros documentos del ordenador del escritorio, siendo dos o

tres carpetas? ?Los seleccionó y los copió en un DVD, conforme a las instrucciones recibidas

por la ***PUESTO.2.? ?El DVD no se encriptó y se lo dio personalmente a la ***PUESTO.2

en el momento en que lo grabó? ?No llegó a abrir ningún documento? ?Cuando se hizo

la intervención del ordenador, no se hacía ninguna advertencia a los funcionarios sobre el

contenido de la información que se podía tener en los ordenadores, porque no había entrado

en vigor el RGPD y no era necesario? ?no se hizo ningún acta de intervención, el declarante

estaba solo cuando se hizo y se lo entregó directamente a la ***PUESTO.2, sin tampoco

ningún acta de diligencia? ??No entró en el correo electrónico ni en los datos de navegación?.

También manifiesta la reclamante que no se hallaba presente en ***FECHA.3 cuando se

copian los datos de su ordenador, declarando que se entera cuando recibió el 27/03/2028

la notificación del acuerdo de solicitud de incoación de disciplinario. Los representantes de

los trabajadores tampoco fueron advertidos de dicho acceso ni de los documentos aparecidos

en el escáner.

6) Los concretos y supuestos documentos aparecidos en el escáner y en la impresora,

inicialmente, no son especificados ni figura diligencia que explique el modo en que se llega

a saber de esos documentos, donde estaban, quien los encuentra, o en qué fecha. No

consta que se enviaran como documentos a la vista del Pleno. Tampoco consta que se entregara

o se pusiera a disposición del Pleno el contenido del DVD que contenía los documentos

hallados en el ordenador en el que la reclamante prestaba sus servicios para el reclamado.

El contenido del DVD, según el reclamado, solo fue mostrado a un miembro de

un grupo político que tenía que votar en el Pleno y por esta razón. Además, según declaró

el 20/03/200 la jefa encargada de la gestión de personal en el procedimiento penal seguido

por a reclamante, los ?documentos que aparecieron en el escáner? no formaban parte del

expediente administrativo que se elevó a la Dirección General para el inicio del procedimiento.

7) Del contenido que figura en el DVD enviado por el reclamado en pruebas, que plasma

los documentos copiados del ordenador usado por la reclamante al ejecutar la providencia

de acceso al equipo, de ***FECHA.3, se destaca que se contenían tres carpetas,

?mis documentos?, y ?download? con espacio de 1,71 GB. LA vista de las tres carpetas revela

que se contiene tanto información profesional como personal, copia de contrato de seguro

de vehículo, declaración de hacienda, datos de contratos de préstamo hipotecario, o

pago de bienes inmuebles, claves personales , datos bancarios, y de empresas como la

franquicia ***EMPRESA.1, cuenta de resultados ***EMPRESA.2, facturas de empresa de

fotografía a nombre de otra persona, listado de cuentas anuales pérdidas y ganancias del

ejercicio 2017 de la empresa ***EMPRESA.3 , documentos sobre una sociedad que se dedica

al negocio de la óptica denominada ***EMPRESA.4.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

27/46

8) De la información obtenida en pruebas se verifica que la expresión ?documentos

aparecidos en el escáner-impresora?, refiere, no a el hallazgo casual de documentos en dicho

espacio físico, sino al almacenamiento en la memoria interna del escáner que utilizaban

los tres empleados del ***DEPARTAMENTO.1, y al modo de configuración en que de

dicho medio se encontraba, permitiendo el almacenamiento como fichero, de este tipo de

información. El almacenamiento en dicho espacio se produce en formato pdf con un número

secuencial que refiere según se deduce, unos cuatro primeros dígitos que revelan el

año, los dos siguientes el mes y los dos siguientes el mes, siguiéndole un número secuencial.

Finalmente, se levantó diligencia el 7/11/2019 , considerando una providencia del regidor

y de conformidad con las instrucciones del servicio de protección de datos. En ella se

indica que se accede a una dirección en la que se almacenan los ficheros de ***DEPARTAMENTO.1 . La diligencia expresa que hay 20 documentos, identificados por sus números

, sin revelarse el contenido, figurando fechas desde 2017 a 2019. En la diligencia se

hace constar que se pasan, copian los mismos, a un CD y se custodian.

En pruebas se obtiene copia de estos documentos, que se envían como archivos pdf con

la denominación ***DOCUMENTOS.1 en pdf numerados de 1 al 20. Entre los documentos

hallados hay diversos de la FRANQUICIA ***EMPRESA.1 y relacionaos como las nóminas

de sus empleados pudiéndose deducir que la reclamante era administradora de esta entidad.

También se aprecia que se escaneo por la reclamante un documento relacionado con

su salud, el número 15, sobre Resolución de expediente de determinación de la contingencia

causante de un proceso de IT en el que figura un informe del Evi conteniendo la patología

diagnosticada.

Según indica el reclamado, a las carpetas que figuraban en el escáner del departamento

podía acceder cualquiera de los tres empleados de la misma, precisando que uno de los

empleados vio los citados documentos, advirtiendo a los responsables

Preguntado el reclamado sobre si a los empleados se les advirtió de que al usar el escáner

quedaban sus documentos y los datos que se contenían almacenados, así como el

uso, acceso y derechos sobre los mismos, el reclamado manifestó que no tenía obligación

de ello, sobrentendiéndose de las normas generales derivadas del Estatuto básico del empleado

público y de la Comunidad autónoma. Según manifestó al reclamada, esa configuración

del escáner de acceso múltiple a carpetas del escáner ha sido variada.

9) No consta que el reclamado tuviera, al momento de suceder los hechos, acceso

al ordenador usado por la reclamante, el ***FECHA.3, una política y protocolos de uso del

equipo informático de los empleados, prohibiciones o tipos de accesos permitidos, con

advertencia sobre medios de control y consecuencias del mismo.

FUNDAMENTOS DE DERECHO

I

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

28/46

Es competente para resolver este procedimiento la Directora de la Agencia Española

de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con

el artículo 36 de la LOPD.

II

Por la fecha en que suceden los hechos, febrero 2018, sería de aplicación lo

señalado por la disposición transitoria tercera de la Ley Orgánica 3/2018 de 5/12, de

protección de datos personales y garantía de los derechos digitales (LOPDGDD) que

señala: ?Régimen transitorio de los procedimientos?:?1. Los procedimientos ya iniciados a la

entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley

orgánica contenga disposiciones más favorables para el interesado.

2. Lo dispuesto en el apartado anterior será asimismo de aplicación a los

procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las

que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la

Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal, aprobado

por Real Decreto 1720/2007, de 21/12? .

III

El artículo 1 de la LOPD señala ?La presente Ley Orgánica tiene por objeto

garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las

libertades públicas y los derechos fundamentales de las personas físicas, y especialmente

de su honor e intimidad personal y familiar.?

Entre los límites que deben imponerse a la informática, tal y como ordena

taxativamente el apartado 4 del art. 18 CE, figura el derecho a la autodeterminación

informativa como parte esencial, es un derecho activo de control sobre el conjunto de

informaciones relativas a una persona, cuando el art. 18.4 CE establece que la Ley limitará

el uso de la informática para garantizar los derechos del art. 18.1 CE, no puede significar

más que el otorgamiento a los ciudadanos de una posibilidad de actuación con el propósito

de, por un lado, impedir o prohibir cualquier intromisión ilegítima en su intimidad a través del

uso de la informática, y, de otro lado, garantizar el ejercicio de las facultades de

conocimiento y acceso a las informaciones incorporadas a una base de datos, o corregir o

suprimir los datos, así como disponer sobre su transmisión y divulgación. Facetas y

facultades del derecho a la autodeterminación informativa, existen también en la ejecución

de la prestación laboral, y así reconocen los tribunales que la vinculación con el empleador

no supone la inexistencia del derecho a la intimidad.

La prestación de trabajo que se trata de controlar no es ya una realidad que se

manifiesta externamente, como sucede con la que captan las técnicas ordinarias de

reproducción de la imagen y del sonido, sino que es algo interno, que no se expone al

exterior y que no es observable directamente sin entrar en el instrumento productivo que lo

contiene

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

29/46

Las sentencias del Tribunal Supremo de 26/09/2007 (caso «Etiquetas de Galicia»),

8.3.2011 (caso «Font Salem») y 6/10/2011 (caso «Annaligia») establecieron una doctrina

que parte de un principio general: ?el ordenador es un instrumento de producción del que es

titular el empresario, como propietario o por otro título, y, en consecuencia, su utilización por

el trabajador queda sometida a los poderes de dirección empresarial, con lo que puede

reglamentarse su utilización prohibiendo los usos personales y procediendo al control de su

uso.

La STS (Sala Cuarta de lo social) de 26/09/2007, marcó los primeros alineamientos

de esta materia en el ámbito laboral. Una revisión técnica por el defectuoso funcionamiento

del ordenador de un trabajador desveló antiguas visitas a archivos pornográficos causantes

quizás de la ralentización del ordenador. Eso desencadenó su despido.

El Tribunal Supremo recalca "... la existencia de un hábito social generalizado de

tolerancia con ciertos usos personales moderados de los medios informáticos y de

comunicación facilitados por la empresa a los trabajadores. Esa tolerancia crea una

expectativa también general de confidencialidad en esos usos; expectativa que no puede

ser desconocida, aunque tampoco convertirse en un impedimento permanente del control

empresarial, porque, aunque el trabajador tiene derecho al respeto a su intimidad, no puede

imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las

instrucciones establecidas por ésta para su uso y al margen de los controles previstos para

esa utilización y para garantizar la permanencia del servicio".

El reconocimiento de esa expectativa impone el deber a la empresa de poner en

conocimiento del trabajador los mecanismos que el empresario se reserva para hacer

realidad ese control. "... Lo que debe hacer la empresa -razona la sentencia- de acuerdo con

las exigencias de buena fe es establecer previamente las reglas de uso de esos medios

-con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que

va existir control y de los medios que han de aplicarse en orden a comprobar la corrección

de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la

efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible

aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas

conexiones. De esta manera, si el medio se utiliza para usos privados en contra de estas

prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá

entenderse que, al realizarse el control, se ha vulnerado "una expectativa razonable de

intimidad" en los términos que establecen las sentencias del Tribunal Europeo de Derechos

Humanos de 25/06/1997 (caso Halford) y 3/04/2007 (caso Copland) para valorar la

existencia de una lesión del artículo 8 del Convenio Europeo para la protección de los

derechos humanos ".

La doctrina vuelve a aparecer en la STS de la misma Sala de 6/10/2011. La empresa

había enviado a todos los trabajadores una carta, recibida y firmada por quienes luego

resultaron despedidos, "... quedaba terminantemente prohibido el uso de medios de la

empresa (ordenadores, móviles, internet, etc.) para fines propios tanto dentro como fuera

del horario de trabajo". Transcurridos unos meses de la recepción de esa misiva, la empresa

decidió hacer una comprobación sobre el uso de sus medios de trabajo para lo que procedió

a la motorización de los ordenadores de los trabajadores afectados. Para ello se valió de la

instalación de un "software de monitorización" que la sentencia de instancia definía como "...

un sistema "pasivo" poco agresivo que no permitía acceder a los archivos del ordenador que

están protegidos por contraseñas de cada uno de los usuarios".

El Pleno de la Sala de lo Social -con cinco votos particulares que disentían del criterio

mayoritario- declaró la procedencia del despido, confirmando así el criterio de la instancia.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

30/46

Lo que singularizaba el presente caso -se razona- era que "... existía una prohibición

absoluta que válidamente impuso el empresario sobre el uso de medios de la empresa

(ordenadores, móviles, internet, etc.) para fines propios, tanto dentro como fuera del horario

de trabajo, y no caprichosamente sino entre las sospechas fundadas de que se estaban

desobedeciendo las órdenes impartidas al respecto. Y sentada la validez de prohibición tan

terminante, que lleva implícita la advertencia sobre la posible instalación de sistemas de

control del uso del ordenador, no es posible admitir que surja un derecho del trabajador a

que se respete su intimidad en el uso del medio informático puesto a su disposición. Tal

entendimiento equivaldría a admitir que el trabajador podría crear, a su voluntad y libre

albedrío, un reducto de intimidad, utilizando un medio cuya propiedad no le pertenece y en

cuyo uso está sujeto a las instrucciones del empresario?.

Las sentencias mencionan «las dificultades prácticas» para una prohibición absoluta

del uso personal, pero admiten que la empresa puede establecer tanto prohibiciones

absolutas, como relativas

En la sentencia del caso «Annaligia» , se argumenta que «si no hay derecho a

utilizar el ordenador para usos personales no habrá tampoco derecho para hacerlo en unas

condiciones que impongan el respeto a la intimidad o el secreto a las comunicaciones», ya

que «en estas condiciones el trabajador afectado sabe que su acción de utilizar para fines

personales el ordenador no es correcta y sabe también que está utilizando un medio que, al

estar lícitamente sometido a la vigilancia de otro, ya no constituye un ámbito protegido para

su intimidad». Se han bajado «las barreras de la intimidad». La conclusión no fue pacífica.

La sentencia del caso «Etiquetas Galicia» había señalado que la empresa debía «establecer

previamente las reglas de uso de esos medios» e «informar a los trabajadores de que va a

existir control y de los medios que han de aplicarse». El voto particular de la STS 6.10.2011

sostiene que para que la empresa pueda controlar el uso del ordenador no basta la

prohibición de uso personal; es necesario además que haya advertencia de control. En

realidad, en el caso «Annaligia» se suscitaba un problema de exceso en el control; el control

se aplicó a través de un programa espía que captaba todas las pantallas del ordenador a las

que accedía la trabajadora, para su posterior visualización. Pero la sentencia obvia el

problema del alcance del control aplicado, centrando su argumentación en la ausencia de

una expectativa de confidencialidad. Por el contrario, para el voto particular hubo exceso en

el control, pues éste «no se limitaba a controlar genéricamente tiempo y páginas visitadas

por la trabajadora, sino que permitía observar lo que la usuaria veía y la captación de

pantallas para su posterior visualización».

Esta doctrina se ha reiterado más recientemente en la STS 13.9.2016 (caso «Radio

Televisión Gallega»). En ella se considera conforme a Derecho una resolución de la

empresa en la que se establece la política de uso de los medios tecnológicos empresariales.

La resolución confirmada prohíbe el uso personal del equipamiento informático de la

empresa, reservándose ésta el derecho a «monitorizar y comprobar, de forma aleatoria,

cualquier sesión de acceso a Internet iniciada por un usuario dentro de la red corporativa».

De forma expresa se excluye el uso personal del correo electrónico, advirtiendo también de

la facultad de la empresa de «revisar los mensajes de correo electrónico de los usuarios de

la red corporativa y los archivos LOG de los servidores, con el fin de comprobar el

cumplimiento de esta y otras normativas, así como para prevenir actividades ilícitas que

pudiesen afectar a CRTVG (la empresa) como responsable civil subsidiario». La resolución

añadía que esta revisión «se realizará, en todo caso, de conformidad con la regulación

vigente en cada momento». Para la Sala IV, la resolución empresarial respeta los tres juicios

de idoneidad, necesidad y estricta proporcionalidad, puesto que: 1.º) «con ella se cumple el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

31/46

legítimo objetivo propuesto [exclusión del uso netamente privado de los instrumentos

informáticos puestos a su disposición por la empresa para desarrollar la actividad laboral]»;

2.º) «no se alcanza a vislumbrar ?ni se propone? otra medida más benévola con los

derechos que entienden vulnerados» y 3.º) «se nos presenta como equilibrada regulación

de los intereses en juego», «siempre y cuando, por supuesto, en el concreto ejercicio del

control empresarial se respeten, asimismo, los derechos fundamentales referidos».

Concretamente, en relación con la utilización de ordenadores u otros medios

informáticos de titularidad empresarial por parte de los trabajadores, puede afirmarse que la

utilización de estas herramientas está generalizada en el mundo laboral, correspondiendo a

cada empresario, en el ejercicio de sus facultades de autoorganización, dirección y control

fijar las condiciones de uso de los medios informáticos asignados a cada trabajador. En el

marco de dichas facultades de dirección y control empresariales no cabe duda de qué es

admisible la ordenación y regulación del uso de los medios informáticos de titularidad

empresarial por parte del trabajador, así como la facultad empresarial de vigilancia y control

del cumplimiento de las obligaciones relativas a la utilización del medio en cuestión, siempre

con pleno respeto a los derechos fundamentales.

Las consideraciones precedentes no impiden que se proceda a dotar de una regulación

al uso de las herramientas informáticas en la empresa y, en particular, al uso profesional de

las mismas, por medio de diferentes instrumentos como órdenes, instrucciones, protocolos o

códigos de buenas prácticas, de manera que la empresa no quede privada de sus poderes

directivos ni condenada a permitir cualesquiera usos de los instrumentos informáticos sin

capacidad alguna de control sobre la utilización efectivamente realizada por el trabajador.

De esta forma, los equilibrios y limitaciones recíprocos que se derivan para ambas

partes de la relación suponen que también las facultades organizativas se encuentran

limitadas por los derechos fundamentales del trabajador, quedando obligado el empleador a

respetar aquéllos. El ejercicio de la potestad de vigilancia o control empresarial sobre tales

elementos resulta limitado por la vigencia de los derechos fundamentales, si bien los grados

de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia

y control son variables en función de la propia configuración de las condiciones de

disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido

ser impartidas por el empleador a tal fin.

Partiendo del uso común del ordenador, desde la perspectiva de los derechos

fundamentales, es esencial determinar si el acceso a los contenidos de los ordenadores u

otros medios informáticos de titularidad del empleador puestos a disposición de los

trabajadores, en un supuesto como el que aquí se presenta, vulnera el art. 18.4 CE.

Se considera que el ordenador es un instrumento de producción del que es titular el

empresario «como propietario o por otro título» y éste tiene, por tanto, facultades de control

de la utilización, que incluyen lógicamente su examen. Por otra parte, con el ordenador se

ejecuta la prestación de trabajo y, en consecuencia, el empresario puede verificar en él su

correcto cumplimiento. La necesidad del control de esos medios no tiene que justificarse por

«la protección del patrimonio empresarial y de los demás trabajadores de la empresa»,

porque la legitimidad de ese control deriva del carácter de instrumento de producción del

objeto sobre el que recae. El empresario puede controlar el uso del ordenador, porque en él

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

32/46

se cumple la prestación laboral y, por tanto, ha de comprobar si su uso se ajusta a las

finalidades que lo justifican, ya que en otro caso estaría retribuyendo como tiempo de trabajo

el dedicado a actividades extralaborales. En este sentido, la alegación de la reclamada de

que al ser bienes públicos no procede la expectativa de privacidad, añadir que igual que se

señala que sobre el uso de los ordenadores de las empresas privadas, en las que rige el

derecho de propiedad (artículo 33 de la Constitución española) no afecta a la titularidad y

ejercicio del derecho de sus empleados. En el mismo sentido, el uso de instrumentos

puestos a disposición de los funcionarios no entraña una apropiación de los mismos, ni

afecta al derecho establecido en el artículo 18.4 de la Constitución española que debe

protegerse también en dicha sede.

Asimismo, dentro del ámbito de protección de datos, al responsable del tratamiento

le corresponde dentro de la normativa vigente, entre otras, dictar las instrucciones relativas

al tratamiento de los datos de los que es responsable. La existencia de normas generales

sobre la materia, RGPD, LOPD, o LOPDGDDD no es suficiente para la ejecución de lo

dispuesto en tales normativas, es preciso un despliegue proactivo, sea en uso de medios,

finalidades, medidas de seguridad, responsable de seguridad, corrección, registro y

subsanación de incidencias. El nuevo RGPD lo denomina en términos anglosajones

?compliance?. Algunas medidas tendentes al cumplimiento ya existían en la LOPD y en el

RLOPD, y el RGPD lo instaura como modelo.

Los ordenadores, teléfonos, tabletas móviles son herramientas básicas en muchos

puestos de trabajo, pero su uso, no es ilimitado. Los empresarios, pueden establecer

controles sobre el uso de esos equipos, y en concreto, sobre las comunicaciones realizadas

con ellos.

Las normas genéricas de cumplimiento de obligaciones como el estatuto básico del

empleado público, marco general de cumplimiento de los empleados públicos, o la

normativa de la Comunitat Valencia, no entran a valorar por su carácter, el balance y los

requisitos que supone la puesta en práctica del conflicto que se presenta cuando entra en

juego un derecho fundamental como el de protección de datos, ejercitable ante una entidad

pública o privada en algunos casos. Así lo ha expresado en reiteradas ocasiones el Tribunal

Constitucional, afirmando que «la celebración de un contrato de trabajo no implica en modo

alguno la privación para una de las partes, el trabajador, de los derechos que la Constitución

le reconoce como ciudadano», porque las organizaciones empresariales no forman

«mundos separados y estancos del resto de la sociedad ni la libertad de empresa que

establece el art. 38 del texto constitucional legitima que quienes prestan servicios en

aquéllas por cuenta y bajo la dependencia de sus titulares deban soportar despojos

transitorios o limitaciones injustificadas de sus derechos fundamentales y libertades

públicas, que tienen un valor central en el sistema jurídico constitucional». STC 106/1996,

12 junio ?.

El RGPD, aunque no aplicable en concreto a los hechos por el tiempo en que

suceden, en su artículo 87 : derecho a la intimidad y uso de dispositivos digitales en el

ámbito laboral, señala:

?1. Los trabajadores y los empleados públicos tendrán derecho a la protección de su

intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

33/46

2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales

facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las

obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.

3. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales

respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo

con los usos sociales y los derechos reconocidos constitucional y legalmente. En su

elaboración deberán participar los representantes de los trabajadores.

El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya

admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos

autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales

como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse

para fines privados.

Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere

este apartado.?

En cuanto a que el responsable del tratamiento no tiene por qué dictar instrucciones

sobre el cumplimiento de sus empleados en cuestiones que tengan relación con protección

de datos, que ya figura vigente la normativa legal con las obligaciones expresadas, se debe

indicar que el responsable del tratamiento, de acuerdo con la LOPD es ?persona física o

jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la

finalidad, contenido y uso del tratamiento? y sus empleados son los encargados de llevar a

cabo las funciones accediendo a datos personales, debiéndose entre otros difundir las

medidas de seguridad de tratamientos que ha de tener en cuenta el personal en el manejo

de datos, y ser informados de los datos que de sus empleados lleva a cabo, y sobre los que

les corresponde a sus titulares sus derechos de acceso entre otros. Otras instrucciones y

documentos que ha de disponer son el documento de seguridad, instaurar acciones

relacionadas con la seguridad de la información o el acceso a los sistemas, sin que ello

suponga una modificación jerárquica de las normas o un incremento injustificado de

normas.

La Sentencia del Tribunal Europeo Derechos Humanos (TEDH) de 5/09/2017, ?Caso

Barbulescu? se aplica a esta situación. En realidad, se trata de dos sentencias, la

mencionada y la STEDH 12/01/2016, conocidas como ?Barbulescu 1? y ?Barbulescu 2?.

La sentencia ?Barbulescu 2? , establece límites a la capacidad de control del

empresario, sobre las comunicaciones del trabajador utilizando, herramientas informáticas

laborales. Y lo hace sobre el derecho a la vida privada del artículo 8 de la Carta Europea de

Derechos Humanos:

El caso trata de que el demandante, Sr Barbulescu, creó, a solicitud de la empresa, una

cuenta ?Yahoo Messenger? para atender preguntas de clientes. El Sr. Barbulescu, ya era

titular, de otra cuenta personal de este tipo.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

34/46

La empresa, prohibía el uso personal de los equipos informáticos, política, que era

conocida con anterioridad por el Sr. Barbulescu. El Sr. Barbulescu, firmó el reglamento en

cuestión el 20/12/2006.

Igualmente, tuvo conocimiento de que la empresa, procedería a verificar, controlar,

incluso sancionar, el uso de internet y equipos informáticos. Se le informó el 3 y el

13/07/2007.

Y convocó al Sr. Barbulescu para que explicase porque había hecho uso personal de los

equipos de la empresa.

Pero en ese momento, no se informó al Sr. Barbulescu, de que se había accedido al

contenido de sus comunicaciones. El Sr. Barbulescu, contestó que solo utilizó las

herramientas empresariales con fines profesionales.

En cambio, la mayoría de los mensajes intercambiados por su parte, lo fueron con su

novia y hermano. Por esta causa, fue despedido el 1/08/2007.

Lo primero que hay que subrayar como gran avance de esta sentencia, que la misma

incorpora el ?Test Barbulescu? (relativo al control del uso del ordenador)

El párrafo 120 de la Sentencia, enumera seis factores para tener en cuenta respecto

de ?Test Barbulescu?:

1.º) La existencia o no de información sobre las medidas de control y sobre su puesta en

práctica. Para la Gran Sala, el empresario debe advertir a los trabajadores de la posibilidad

de que se supervise el uso de los recursos tecnológicos de la empresa y, en especial, de la

correspondencia y esta advertencia debe ser «clara en cuanto a la naturaleza de la

supervisión» y anterior al establecimiento de las medidas de control.

2.º) El alcance del control empresarial practicado. Es necesario valorar la extensión del

control y el grado de intrusión en la vida privada del trabajador. En este sentido, la sentencia

señala que no es lo mismo un control sobre el flujo de las comunicaciones que sobre su

contenido. Hay que tener en cuenta también si el control ha afectado a la totalidad de las

comunicaciones del empleado o se ha producido de forma selectiva únicamente en relación

con determinadas comunicaciones. Asimismo, habrá que valorar si el control ha sido o no

limitado en el tiempo y el número de personas que han accedido a la información.

3.º) La existencia o no de motivos suficientes para el control. Dado que el acceso al

contenido de las comunicaciones es un método de control especialmente «invasivo», este

tipo de control requiere de justificaciones más fundamentadas.

4.º) La posibilidad de aplicar medidas alternativas menos «intrusivas». Los tribunales

tendrán que valorar, en función de las circunstancias concretas de cada caso, si la finalidad

legítima de control perseguida por el empresario podía haberse cumplido a través de otros

medios técnicos más respetuosos con la vida privada y las comunicaciones del trabajador.

5.º) La consideración de las consecuencias del control y el uso que el empresario haya

hecho de los datos obtenidos, así como la adecuación de ese uso a la finalidad que legitima

el control.

6.º) Las garantías ofrecidas al trabajador. La sentencia aclara, en este punto, que, cuando

el control implica acceso a las comunicaciones, es necesario que el trabajador haya sido

previamente notificado de tal eventualidad.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

35/46

Sobre la no aplicación de la doctrina señalada al ámbito de la Administración pública,

cualquier responsable del tratamiento ha de adoptar medidas en desarrollo de la normativa

vigente, ahora el RGPD, antes de esta la LOPD. Estas medidas proactivas suponen una

actitud diligente y previsora de los tratamientos que se llevan a cabo, la valoración en cada

actuación del cumplimiento de los principios básicos en protección de Datos. La normativa

básica aplicable a todas las entidades, tanto públicas como privadas parte del RGPD, antes

la LOPD. Solo el ámbito público puede verse afectado en cuanto a que se introducen

algunas especialidades propias en la base jurídica del tratamiento. Los principios generales

del derecho de protección de datos son aplicables en ambos supuestos, aunque en algunos

supuestos la normativa púbica pueda influir en el tratamiento llevado a cabo. Dado que

hasta la entrada en vigor del RGPD no existe una norma específica que se refiera al control

de los medios puestos a disposición de los empleados, es razonable la extensión de los

principios de la sentencia Barbulescu al ámbito que se examina, pues se trata de un

principio general aplicable al tratamiento de datos, el de estar informado de los datos propios

que se van a tratar, de su uso y su finalidad y alcance, y de que se puede ejercitar frente a

esa recogida y uso de datos los derechos que establece la normativa.

En el presente supuesto, no se indica que la reclamante experimentase una

reducción sostenida o permanente de su rendimiento o que existían sospechas fundadas, o

de alguna otra forma se diera a entender que podría estar dedicando parte de la jornada a

su asuntos particulares, siendo el motivo los documentos almacenados en el escáner.

El control empresarial sobre el uso por parte de los trabajadores de los medios

informáticos de la empresa se encuentra directamente fundamentado en la potestad

empresarial de vigilancia y control, si bien queda sujeto a límites para que resulte lícito: que

se hayan establecido previamente las reglas de uso de los medios informáticos puestos a

disposición del trabajador -prohibiciones absolutas o parciales-; que se informe a los

trabajadores de que va a existir control de dichos medios; y que igualmente se informe a los

trabajadores de los medios de control que van a ser usados para fiscalizar el uso de los

medios informáticos.

En el presente supuesto en la empresa no existía protocolo ni instrucciones sobre los

límites y condiciones de utilización de los ordenadores, ni del escáner, ni tampoco sobre los

procedimientos de control de su contenido, ni a nivel profesional laboral, ni a nivel de

protección de datos que guardan conexión. En este caso, en cuanto al control del ordenador

usado por la reclamante y el sistema de copia escaneada de documentos disponible para

los empleados no se dan esos elementos específicos, al no haber sido informada, y se

accede de una forma especialmente invasiva escogiendo documentación sin discriminar su

contenido, un volcado de carpetas y archivos, razones por las que cabe considerar que las

circunstancias en que se llevó a cabo vulneran la normativa de protección de datos.

Si no se regula o instrumenta dicho uso en tales dispositivos, cabe inferir que no está

expresamente prohibido, el empleado tiene una expectativa razonable de confidencialidad.

Esta expectativa razonable puede ser destruida, cuando se establezca por el empleador la

prohibición expresa del uso para fines privados de los dispositivos digitales, facilitados. En

todo caso dicha prohibición debe ser debidamente informada.

En cuanto al alcance de la medida practicada por la reclamante, el presente caso, de

acuerdo con la notificación de solicitud de incoación de disciplinario, se inician los hechos

sobre si la justificación de asistencia de la reclamante el 9/02/2020 a una jornada promovida

por el Ayuntamiento de Valencia era real o sirvió para justificar un día de ausencia del

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

36/46

trabajo, solicitando el 23/02/2018 información al citado Ayuntamiento, certificándose el

2/03/2018 que la jornada no existió

Por otro lado, se indica, sin fecha de referencia, que al haber aparecido documentos

en el escáner y en la impresora, no se indica cuales, ?que podrían suponer que la

funcionaria realiza actividades personales o profesionales dentro de la jornada de trabajo

que nada tienen que ver con sus funciones como funcionaria y que incluso podrían resultar

incompatibles, mediante providencia de la alcaldía de ***FECHA.3 se ordena al

departamento de informática que investigue los documentos del ordenador de trabajo de la

funcionaria para aclarar tales hechos?

Pudiendo haber incumplido como infracciones muy graves:

- ?las normas sobre incompatibilidades cuando dé lugar a una situación de

incompatibilidad?,

- ?La realización dentro de la jornada laboral de manera reiterada o con ánimo de

lucro, de otro tipo de actividades personales o profesionales?,

y como grave:

- ? Emplear o autorizar para usos particulares medios o recursos de carácter oficial o

facilitarlos a terceros?.

No se conoce si estas supuestas labores realizadas por la reclamante para o en las

empresas que aparecen en los documentos hallados, se realizaban dentro o fuera del

puesto de trabajo, y cabe indicar que la suposición o sospecha podría ser de la mera guarda

de los documentos en el ordenador, no cabiendo interpretar que, por el mero hecho de ser

hallados en el escáner, luego en el ordenador, conduzcan por sí mismas, a deducir que las

supuestas actividades tenían lugar en el horario y desempeño del puesto de trabajo,

utilizando dichos medios o era un simple guardado de documentación. La carga de la

prueba corresponde a quien afirma, y en tal sentido la mera copia de los documentos al

DVD para acreditar los hechos es un mero inicio, quedando carao que se pueden y se

podían haber establecido medios para verificar que en el puesto de trabajo solo se

desarrollen funciones y labores del mismo, no particulares, por lo que la medida de acceso

al ordenador es discutible.

Por el reclamado, si se considera indicio suficiente para que en base a ese primer

hallazgo, que denomina casual, se determine el acceso a través del ordenador usado en el

trabajo diario. El funcionario que ejecuta la providencia en la que se dice: ?que investigue los

documentos del ordenador de trabajo?, no tiene documento alguno del escáner para

visualizar y saber lo que tiene que buscar para esa investigación o en relación con qué,

empresas o compañías que figurasen en el hallazgo del escáner, y acaba copiando todas

las carpetas sin ver antes los archivos con el fin de discriminar en función de lo que se

buscaba. Una investigación requiere cierta indagación en una dirección, no pudiendo

consistir la investigación en un volcado de datos. Podía por ejemplo, haberse buscado en el

ordenador por nombres de empresas que figurasen en los documentos del escáner, pero la

investigación no es tal , sino un volcado de carpetas y archivos de la reclamante, no

discriminando, cuando lo cierto es que el ***PUESTO.3 se hallaba sin la presencia de la

reclamante, pudiéndose haber seleccionado las carpetas a copiar, o cuanto menos,

descartar las carpetas y archivos claramente alusivos a su persona.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

37/46

Sobre el hallazgo casual de documentos en el escáner, al inicio del procedimiento se

aludía a ello con el termino de que ?aparecieron? unos documentos en el escáner. Sin

diligencia en el momento y circunstancias en que son hallados, en pruebas se acredita que

tal hallazgo no respondía a esa aparición de documentos, dejados en el escáner, sino que

se hallaban almacenados en carpetas, en el sistema interno, no del ordenador sino del

escáner, configurado con posible acceso indiferenciado de los empleados del

***DEPARTAMENTO.1. De tal configuración y uso de posibilidad de almacenamiento de

datos tampoco consta se hubiera informado a los empleados.

Objetivamente, tampoco existía una previa sospecha fundamentada de que la reclamante

dedicara su tiempo a funciones particulares, no aparecen motivos en ese sentido, y la

investigación llevada a cabo para apuntar a una infracción de incompatibilidades no ha ido

en ninguna dirección, tan solo recopilación de carpetas y archivos.

La cuestión es que para controlar ese aspecto, el alcance intrusivo sobre la intimidad de la

empleada ha superado la razonabilidad de la intromisión, ya que, contando el reclamado

con los medios suficientes para realizar la investigación ajustada a los objetivos, podría

haber usado una técnica menos agresiva. Así, se han visto alcanzados archivos,

documentos personales privados que nada tienen que ver con los motivos , asuntos de

salud, de cursos y titulaciones, que se han recogido globalmente sin descarte alguno, con

afectación de su intimidad de forma no necesaria. Los medios para acreditar la realización

de trabajos no relacionados con la actividad encomendada no pasan en principio

directamente por la intervención del ordenador, conocer si la reclamante es administradora

de una sociedad puede consultarse en el Registro Mercantil, existiendo otros medios menos

intrusivos para evaluar si se desempeñan trabajos particulares. Los métodos técnicos para

aplicar el control de la prestación deberán ser acordes a las comprobaciones que se quieren

realizar, y en este caso se ha usado un medio desproporcionado, exhaustivo e intrusivo

globalizado sin relación con lo que se buscaba.

IV

La Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal

(BOE núm. 298, de 14 de diciembre de 1999, p. 43088) adapta el Derecho español a la

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/1995, relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos personales y a

la libre circulación de dichos datos.

Cuando se adoptó en 1995, la Directiva se basó en los primeros instrumentos de

protección de datos, incluidos el Convenio 108 y las Directrices de la OCDE. Se contenía un

requisito amplio establecido en su artículo 6, apartado 1, letra a), de que los datos

personales deben ser tratados «justamente y legalmente», la Directiva añadió un conjunto

específico de requisitos adicionales, que aún no están presentes como tales en el Convenio

108 ni en las Directrices de la OCDE: el tratamiento de datos personales deberá basarse en

uno de los seis fundamentos jurídicos previstos en el artículo 7.

Los Estados miembros dispondrán que el tratamiento de datos personales sólo

pueda efectuarse si:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

38/46

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la

aplicación de medidas precontractuales adoptadas a petición del interesado, o

c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el

responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e) es necesario para el cumplimiento de una misión de interés público o inherente al

ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se

comuniquen los datos, o

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del

tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no

prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran

protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Se puede hacer una distinción entre el caso en que los datos personales se procesan

sobre la base del consentimiento inequívoco del interesado (artículo 7, letras a) y los cinco

casos restantes (artículo 7, letras b) a f)). Estos cinco casos -en pocas palabras- describen

escenarios en los que el tratamiento puede ser necesario en un contexto específico, como la

ejecución de un contrato con el interesado, el cumplimiento de una obligación legal impuesta

al responsable del tratamiento, etc.

En otras palabras, el primer motivo, el artículo 7, letra a), se centra en la libre

determinación del interesado como fundamento de legitimidad. Todos los demás motivos, en

cambio, permiten el tratamiento -con sujeción a salvaguardias y medidas- en situaciones en

que, independientemente del consentimiento, sea apropiado y necesario tratar los datos en

un determinado contexto en busca de un interés legítimo específico.

En los apartados b), c), d) y e) se especifica un criterio que legitima el tratamiento :

El artículo 3.c) de la LOPD señala: ?Tratamiento de datos: operaciones y

procedimientos técnicos de carácter automatizado o no, que permitan la recogida,

grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las

cesiones de datos que resulten de comunicaciones, consultas, interconexiones y

transferencias.?

El artículo 6 de la LOPD indica:

?1. El tratamiento de los datos de carácter personal requerirá el consentimiento

inequívoco del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se

recojan para el ejercicio de las funciones propias de las Administraciones públicas en el

ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato

de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento

o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

39/46

vital del interesado en los términos del artículo 7, apartado 6 , de la presente Ley, o cuando

los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la

satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero

a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades

fundamentales del interesado.?

La legitimación para el tratamiento consistente en el acceso al equipo informático

asignado a la reclamante puede derivar de que dentro de la existencia de la relación laboral

o administrativa y para el cumplimiento de la misma, la comprobación del cumplimiento de

sus funciones se puede arbitrar en unos casos concretos, proporcionales y

predeterminados ese tipo de accesos, que aquí no lo estaban, volcándose todo el contenido

de las carpetas, sin realizar investigación sobre los documentos. Si bien, de acuerdo con el

art. 6.2 de la LOPD, no se requiere del consentimiento de los empleados para instaurar

dicha medida, no existía información previa ni expectativas del uso de los datos para

dichos fines

En cuanto al uso de escáner para control laboral, no es muy propio y adecuado esa

finalidad, dado que en él no se ejecuta la relación mediante dicho medio, sino que

usualmente suele servir para pasar a formato electrónico algo que está en papel. Una baja

médica en papel se puede pasar a dicho formato si se precisa enviar a alguna entidad, y

puede estar relacionado con el empleo. Si se conocen previamente las instrucciones y que

se almacenan los datos y se pueden usar dichos datos con el fin de verificación de labores

desempeñadas, se debería haber comunicado a los empleados. Pero en este caso, no cabe

duda de que sirvió como instrumento de control sin aviso previo en un doble sentido,

almacenándose datos en el escáner sin advertencia de uso para luego justificar el acceso al

ordenador, a sus archivos y carpetas sin discriminar datos personales relacionados con los

hechos, sin un protocolo en el modo de recolectar la información. Hacer notar que incluso se

accedió a documentos con datos de salud de la reclamante, datos especialmente

protegidos.

En el presente supuesto se produce un doble tratamiento de datos de carácter

personal de la reclamante, relacionados con el control laboral, al haber accedido a datos

personales almacenados en carpetas que tenía el escáner puesto a disposición de los

empleados, y a través del ordenador con el que prestaba servicios.

El Tribunal Constitucional ha considerado básica y parte esencial del derecho a

protección de datos el derecho a ser informado de las finalidades, usos y derechos que

conlleva el tratamiento de datos de carácter personal, y su falta constituye una vulneración

de la normativa de protección de datos. Así, en este caso, frente al poder de control del

empleador para instaurar normas de seguimiento y cumplimiento de la prestación, se exige

el derecho de los empleados, titulares de esos datos, a conocer de qué medios y con qué

fines se realiza ese control, y el modo de ejercer los derechos, con información previa al

momento en que se recojan dichos datos para esas finalidades de control laboral a través de

cualquier medio puesto a su disposición por el que se desarrollan las funciones

encomendadas. Por ello, si bien la medidas que se puedan implantar para el control de la

prestación laboral con los medios puestos a disposición del empleado deben respetar los

principios de proporcionalidad, necesidad e idoneidad para los fines, como prerrequisito para

su instauración, no cabe la exigencia de la obtención del consentimiento de los empleados,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

40/46

pero si la obligación como parte integrante del derecho, de ser informado de los citados

extremos.

La finalidad del control laboral en la modalidad de control de equipos informáticos sin

establecer las reglas previas supone que este concreto tratamiento llevado a cabo carecía

de la información preceptiva del uso o la finalidad del tratamiento especificado.

Por tanto, no se considera que los hechos realizados por al reclamante con la

obtención de datos relacionados con el empleo de la reclamante en el escáner, el posterior

volcado de las carpetas del ordenador en un DVD para proponer el inicio de un

procedimiento disciplinario, sin haber informado a los empleados adecuada y expresamente

de la utilización del ordenador o del escáner , con la advertencia de la existencia de medidas

de control sobre las comunicaciones de los empleados se ajuste a los términos del artículo

6.2 de la LOPD que permitirían el citado control.

Al no haberse cumplido los requisitos para dicha modalidad de control,

fundamentalmente por la falta de información de los usos y finalidades y advertencias de los

dispositivos para control laboral, se considera que en la infracción cometida del artículo 6.1

de la LOPD, influye esa ausencia de información sobre el tratamiento cualificado de control

laboral llevado a efecto. Si bien no precisaría el consentimiento en el sentido de

corresponder a ? las partes de una relación negocial, laboral o administrativa y sean

necesarios para su mantenimiento o cumplimiento?, al no concurrir información sobre el

uso de los dispositivos y los datos personales en ellos contenidos, no queda amparado por

dicha excepción del consentimiento.

Esta infracción del artículo 6.1 de la LOPD se tipifica como grave en el artículo

44.3.b) de la LOPD que indica: ?Tratar datos de carácter personal sin recabar el

consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo

dispuesto en esta Ley y sus disposiciones de desarrollo.?

V

El artículo 9.1 de la LOPD señala:

?1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar

las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los

datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no

autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos

almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del

medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones

que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de

los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los

ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el

artículo 7 de esta Ley.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

41/46

El Real Decreto 1720/2007, de 21/12 que aprueba el reglamento de desarrollo de la

LOPD (RLOPD) indica en su artículo 92:

1. Los soportes y documentos que contengan datos de carácter personal deberán

permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser

accesibles por el personal autorizado para ello en el documento de seguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporte

imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de

seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos

los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del

responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o

encontrarse debidamente autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la

sustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de

carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de

medidas dirigidas a evitar el acceso a la información contenida en el mismo o su

recuperación posterior.

5. La identificación de los soportes que contengan datos de carácter personal que la

organización considerase especialmente sensibles se podrá realizar utilizando sistemas de

etiquetado comprensibles y con significado que permitan a los usuarios con acceso

autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la

identificación para el resto de las personas.?

El artículo 97.1 y 2 del RLOPD indica:

?1. Deberá establecerse un sistema de registro de entrada de soportes que permita,

directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor,

el número de documentos o soportes incluidos en el envío, el tipo de información que

contienen, la forma de envío y la persona responsable de la recepción que deberá estar

debidamente autorizada.

2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que

permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el

destinatario, el número de documentos o soportes incluidos en el envío, el tipo de

información que contienen, la forma de envío y la persona responsable de la entrega que

deberá estar debidamente autorizada.?

El artículo 101 del RLOPD indica: ?Gestión y distribución de soportes?

?1. La identificación de los soportes se deberá realizar utilizando sistemas de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

42/46

etiquetado comprensibles y con significado que permitan a los usuarios con acceso

autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la

identificación para el resto de las personas.

2. La distribución de los soportes que contengan datos de carácter personal se

realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha

información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando

éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del

fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos

portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará

constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan

en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.?

El artículo 2 de la LOPD señala:

?1. La presente Ley Orgánica será de aplicación a los datos de carácter personal

registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad

de uso posterior de estos datos por los sectores público y privado.?

El artículo 5.2. ñ) del RLOPD define:

?Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible

de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar

datos.?

Manifiesta el reclamado que si bien el DVD es un soporte, al formar parte de un

expediente disciplinario, ?no constituye un soporte a los efectos de la normativa entonces

aplicable, el RLOPD RD 1720/2007.? En tal sentido, al formar parte de un expediente como

ordenación de actos cronológicamente realizados que contiene datos personales de la

reclamante y de terceros, constituirían un tratamiento que se tratan con una finalidad y al

que le resulta de aplicación la normativa de protección de datos.

El DVD forma parte del expediente sea electrónico o sea en papel, y ha de estar

identificado, así como las copias que se realicen. Ello con vistas a limitar el riesgo de que

caso de hallarse una copia del DVD extraviada se pueda llegar a conocer por la trazabilidad

del soporte a quien corresponde y quien debe garantizar la custodia. Igualmente, el envío

del contenido encriptado es una garantía de seguridad que mitigaría eventuales riesgos que

si no se contienen se podrían producir con accesos no autorizados por terceros.

Los datos extraídos del ordenador al DVD contienen datos de carácter personal y datos

del desempeño de las funciones profesionales de la reclamante, no contienen las medidas

de seguridad mínimas de tratamiento de datos que ha de contener un soporte físico con tal

contenido. Como medio que contiene datos, no se registró ni diligenció su contenido en el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

43/46

momento de realizarse la copia, considerando la fecha y hora, no se protegió su información

pues cada acceso al mismo, incluso su muestra a personas legitimadas, se debería de

haber registrado, se ha enviado una copia a un destinatario, la DGAL, sin identificar el

nuevo formato físico DVD 0btenido y enviado, sin cifrar dichos datos o utilizar otro

mecanismo que garantice que dicha información no sea accesible o manipulada durante su

transporte.

CD y DVD, introducidos en 1982 constituyen uno de los muchos tipos de tecnologías

de almacenaje confiable y económicamente accesible, el formato sigue siendo popular por

muchas razones, entre las cuales destacan su uso fácil y disponibilidad común. En primer

lugar hay que referir que dichos soportes deberían poder convertirse y almacenarse en

soporte digital pues llegara un momento en que dejara de existir la tecnología capaz de leer

esos formatos. En segundo lugar, estos soportes pueden ser copiados y multiplicados

pudiendo perder la identificación del originario y dando lugar a proliferación de copias sino

se produce algún tipo de identificación del mismo, y de las copias que se realicen. Una

modalidad de identificación sería el etiquetado, fecha, información respaldada y disponer de

una copia guardada en distinto sitio o espacio de la anterior.

Sobre el cumplimiento de medidas de seguridad en el tratamiento de datos, la jurisprudencia

de la Audiencia Nacional, sala de lo contencioso-administrativo, sección 1, entre otras la

SAN de 30/04/2010 recurso 29/2009, fundamento jurídico tercero, indica que la ?doctrina, por

todas, según refiere, SAN 6/05/2009 re 469/2008 impone una obligación de resultado, consistente

en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen

o acaben en manos de terceros. En definitiva, la responsable del fichero es, por disposición legal

, una deudora de seguridad en materia de datos, por lo que debe dar una explicación adecuada

y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles

de recuperación por terceros, siendo insuficiente con acreditar que adopta una serie

de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor.

En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse

de que dichas medidas o mecanismos se implementen de manera efectiva en la

práctica???No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias

para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con

la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren

y pongan en práctica de manera efectiva.?

La infracción de las medidas de seguridad se tipifica como grave en el artículo

44.3.h) de la LOPD que indica: ?Mantener los ficheros, locales, programas o equipos que

contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía

reglamentaria se determinen.?

Sobre la alegación de la reclamada de aplicar en esta infracción el RGPD, se debe

indicar que en torno a dicha cuestión, si bien el régimen del RGPD, en medidas de

seguridad de tratamientos no establece unas obligaciones o niveles especificados y

definidos, ello no quiere decir que no se deba cumplir con la obligación y el principio, que se

establece en el artículo 5.1 f) ?1. Los datos personales serán:

?tratados de tal manera que se garantice una seguridad adecuada de los datos personales,

incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida,

destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas

apropiadas («integridad y confidencialidad»)?, especificando una serie de medidas que

menciona el artículo 32.1 del RGPD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

44/46

El artículo 9.1 de la LOPD también establecía la adopción de medidas técnicas y

organizativas, en el mismo sentido que ahora establece el 32.1. El hecho de no introducir un

listado expreso de obligaciones en cuanto a las medidas de seguridad a implementar se

correlaciona con el principio de cumplimiento que se desarrollan artículos 5.2 del RGPD.

El RGPD, en vigor desde 25/05/2018, en el momento de presentarse la denuncia, la

LOPDGDD no, y los hechos que suceden en febrero 2018 deben someterse al ámbito de

aplicación de la norma vigente en ese momento que regula las obligaciones y deberes del

responsable del tratamiento en ese tiempo. El RGPD establece distintas obligaciones y

acreditaciones de cumplimiento de la normativa diferentes.

Establece el RGPD en su artículo 5.2:? El responsable del tratamiento será

responsable del cumplimiento de lo dispuesto en el apartado 1 (principios del tratamiento

entre los que se encuentra el modo en que han de ser tratados los datos, ?de manera lícita,

leal y transparente?) capaz de demostrarlo («responsabilidad proactiva»). Ello implica que la

entidad es la que asume su propia responsabilidad dirigiendo y coordinando la materia en

cuanto al personal que le presta servicios. La alegación de la reclamada que ?no existe

concreción de los deberes de seguridad listados? se desmiente por si sola en ese artículo, y

en el 32 del RGPD, ?la capacidad de garantizar la confidencialidad, integridad, disponibilidad

y resiliencia permanentes de los sistemas y servicios de tratamiento;?. El reclamado, debe

prever que el tratamiento cumple la normativa aplicable, así como coordinar y dirigir política

referente a los tratamientos que lleva a cabo, con pprocedimientos de evaluación y

valoración de riesgos, y adopción de medidas técnicas y organizativas que permitan eliminar

o mitigar los daños que pudieran derivarse para los derechos y libertades de las personas.

Se necesita pues un desenvolvimiento proactivo sobre la protección de los datos y

guardar las evidencias de los pasos que se toman para cumplir con el RGPD junto a la

circulación y vida de los datos, incluyendo eventuales instrucciones no solo de seguridad de

soportes, sino como las que ha dictado para adaptarse al manejo de datos en sistemas de

información y acceso del personal a los datos. Así pues, el hecho de que no se establezca

expresamente como han de tratarse los soportes de almacenamiento de datos, no significa

que no esté tipificado en el RGPD, y que deba reunir unos requisitos, y en ambos casos la

conducta infractora acarrearía una infracción de medidas de seguridad en el tratamiento de

datos.

Además, ambas normativas, asocian un periodo de prescripción de dos años desde su

comisión.

Por tanto no se acredita que se deba aplicar la retroactividad de la disposición al no

acreditarse mejor tratamiento que la normativa de la LOPD.

Queda acreditada la comisión de la infracción, por no tener activadas las medidas de

seguridad que le eran exigibles para evitar precisamente que el soporte DVD que contiene datos

e información asociado a la extracción en disco de datos del ordenador de la reclamante,

que sirve como prueba en el procedimiento disciplinario, que forma parte de un expediente,

como soporte que contiene datos personales, no se haya cifrado, registrado, diligenciado y

descrito su contenido.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

45/46

VI

El artículo 46 de la LOPD señala:

?1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de

titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros

de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las

medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta

resolución se notificará al responsable del fichero, al órgano del que dependa

jerárquicamente y a los afectados si los hubiera.

2. El órgano sancionador podrá proponer también la iniciación de actuaciones

disciplinarias, si procedieran. El procedimiento y las sanciones por aplicar serán las

establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

3. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación

con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que

efectúe y las resoluciones que dicte al amparo de los apartados anteriores.?

El artículo 129 del RLOPD indica:

?El procedimiento por el que se declare la existencia de una infracción de la Ley Orgánica

15/1999, de 13/12, cometida por las Administraciones públicas será el establecido en la

sección tercera de este capítulo.?, referido al procedimiento sancionador.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: Declarar que el AYUNTAMIENTO DE ALGEMESÍ ha infringido:

-el artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, y

-el artículo 9 de la LOPD, en relación con los artículos del RLOPOD: 92, 97.1 y .2 y 101,

tipificada como grave en el artículo 44.3,.h) de la LOPD.

SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE ALGEMESÍ y al

DEFENSOR DEL PUEBLO.

TERCERO : Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la

LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de

1/10, del Procedimiento Administrativo Común de las Administraciones Públicas, los

interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de

la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día

siguiente a la notificación de esta resolución o directamente recurso contencioso

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

46/46

administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con

arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta

de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el

plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo

previsto en el artículo 46.1 del referido texto legal.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015, de

1/10, del Procedimiento Administrativo Común de las Administraciones Públicas, se podrá

suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta

su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el

interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia

Española de Protección de Datos, presentándolo a través del Registro Electrónico de la

Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los

restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1/10. También

deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del

recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición

del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

824-200320

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es