Acerca de operadores lógicos
Última revisión
25/01/2024
Resolución de la Agencia Española de Protección de Datos PS-00197-2023 de 19 de octubre de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 43 min
Órgano: Agencia Española de Protección de Datos
Fecha: 19/10/2023
Num. Resolución: PS-00197-2023
Cuestión
1 / 18Expediente N.º: EXP202301660
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : DON A.A.A. (en adelante, la parte reclamante) con fecha 22 de diciembre
de 2022 interpuso...
Contestacion
1/18
? Expediente N.º: EXP202301660
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: DON A.A.A. (en adelante, la parte reclamante) con fecha 22 de diciembre
de 2022 interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra POLICÍA FORAL DE NAVARRA con NIF S3100003G (en
adelante, la POLICÍA). Los motivos en que basa la reclamación son los siguientes:
La parte reclamante manifiesta que, durante una detención en un control de carretera,
los agentes de la POLICÍA fotografiaron su vehículo. Refiere que se trata de un
vehículo de características inusuales, de los pocos o únicos que existen, tanto en la
comunidad y población que se concreta en el tweet que la POLICÍA sube a la red
social Twitter (?).
Del mismo modo, la parte reclamante declara que en la foto publicada se aprecia a su
perro asomado a la ventanilla trasera y la imagen de la parte reclamante reflejada en
el retrovisor derecho, conjuntamente con los delitos e infracciones cometidas por la
persona que fue parada con anterioridad a la parte reclamante (positivo en tres tipos
de drogas, incautación de 4 tipos de drogas, incautación de dos navajas y las cuantías
de las multas).
Dicha publicación provoca que la noticia se propague por los medios de comunicación
digitales, asociando su vehículo a la comisión de los delitos descritos provocando la
pérdida de su puesto de trabajo, así como vergüenza a salir de casa, según alega en
la propia reclamación.
Asimismo, la parte reclamante alega que interpuso reclamación ante la POLICÍA en el
mes de julio de 2022, recibiendo la resolución de otra reclamación con los datos
personales y actos de los intervinientes en la misma. Reclamación que reitera en
agosto, no recibiendo respuesta.
Junto a la reclamación aporta la fotografía tomada, la publicación en el Twitter de la
POLICÍA, así como la publicación de la noticia en el diario de Navarra y correos
electrónicos intercambiados con la POLICÍA, entre los que se encuentra uno de fecha
***FECHA.1, donde se da respuesta a la reclamación ***RECLAMACIÓN.1,
reclamación interpuesta presuntamente por una tercera persona.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación a la POLICÍA, para que
procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/18
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido en fecha 13 de febrero de 2023 como
consta en el acuse de recibo que obra en el expediente.
No se ha recibido respuesta a este escrito de traslado.
TERCERO: Con fecha 22 de marzo de 2023, de conformidad con el artículo 65 de la
LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: Con fecha 28 de julio de 2023, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,
por la presunta infracción del Artículo 5.1.f) del RGPD y Artículo 32 del RGPD,
tipificada en el Artículo 44.2.a) de la LOPD (LES).
QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), la parte reclamada presentó escrito
de alegaciones.
Con fecha 13 de febrero de 2023, la AEPD traslada una reclamación y solicita
información en relación a los hechos, dirigiéndose ?a la atención del
responsable del tratamiento o de su Delegado de Protección de Datos?. Desde
la Brigada de Régimen Interno se dio traslado a la unidad especializada de
Policía Foral, la Brigada de Desarrollo Tecnológico y Calidad.
Según informa el Inspector Jefe de la citada Unidad, tras la recepción de la
solicitud de información por parte de la AEPD, se inició una investigación para
la averiguación de los hechos que motivaron tal reclamación.
Se revisaron todos los documentos gráficos asociados a esta denuncia que se
encuentra recogida en el Sistema de Información Policial, no encontrando
documentación gráfica alguna. Se comunicó con el responsable del Grupo de
Comunicación y Participación Ciudadana y se indicó que la fotografía había
sido enviada por los policías operativos al Grupo de Comunicación y que no se
encontraba entre los documentos gráfico-asociados al hecho imputado al
reclamante, la conducción bajo los efectos de sustancias psicotrópicas. Se
trataba, por lo tanto, de una imagen no acreditativa del presunto ilícito, más
bien de una imagen de la actuación que durante varias horas se realizó en el
lugar.
Deduce el responsable de la unidad de Desarrollo Tecnológico y Calidad que la
publicación de la fotografía incorporada a la red Twitter fue una interacción
entre los equipos operativos que actuaron en campo y el personal del Grupo de
Comunicación y Participación Ciudadana, sin alcanzar a ser elemento de la
prueba de la infracción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/18
A la vista de los hechos, se transmitió al responsable del tratamiento de Policía
Foral y al propio Grupo de Comunicación y Participación Ciudadana que
cualquier documento gráfico sobre actuaciones policiales que se desee
publicitar deberá ser modificado de forma que sea imposible la identificación de
acompañantes, vestimentas, tatuajes, animales, objetos, vehículo etc.. o
cualquier otro tipo de elemento que pueda asociarse a la identidad de una
persona.
Para colaborar al control de la materia, se ha solicitado una formación
específica sobre legislación de Protección de Datos y datos personales para
los componentes del Grupo de Comunicación y Participación para el año 2023
que se espera impartir antes de que finalice el año 2023.
Asimismo, se ha creado un repositorio en una unidad de red de Policía Foral a
la que únicamente tiene permiso de acceso el Grupo de Comunicación y el
Responsable de seguridad y Protección de Datos de la Policía Foral, donde se
almacenarán todas las imágenes que sean publicadas en redes sociales con el
fin de ejercer un control estricto y real sobre todos los contenidos, texto e
imagen, susceptibles de ser publicitados.
Además, se ha desarrollado un procedimiento por el cual el Responsable de
Seguridad de Protección de datos verificará las imágenes publicadas junto con
el responsable del Grupo de Comunicación, con el fin de adquirir en Policía
Foral un criterio unificado sobre el tratamiento y publicación de documentos,
especialmente gráficos.
Finalmente, se ha iniciado un proyecto denominado ?Contenedor multimedia?,
dotado a su vez de un repositorio y software asociado al Sistema de
Información Policial que se implantará a lo largo de 2024, mediante el cual se
establece que todo documento gráfico, sea cual sea el formato, deberá estar
asociado a un hecho recogido en el Sistema de Información Policial. Una vez
introducido en el sistema, se tendrá control absoluto sobre su trazabilidad
quedando registrado en el mismo los movimientos (introducción, copia,
borrado), así como el usuario que lo realiza, En ningún caso se permitirá la
existencia de documentos gráficos en la red de Policía Foral no asociados o al
alcance de los usuarios generales, por lo que se implementará un sistema que
no permita su descarga, excepto en el mencionado contenedor.
Por lo que se refiere al aspecto formal de recepción de la reclamación remitida
por la AEPD el 13/02/2023, añade el Inspector Jefe de la Brigada de Desarrollo
Tecnológico y Calidad, que la misma se recepcionó en febrero de 2023 y a
partir de ese momento se realizaron todas las acciones descritas, si bien por
cuestiones no conocidas, la respuesta comunicando las acciones puestas en
marcha no fue remitida en plazo a la Agencia Española de Protección de
Datos.
Por su parte, por lo que se refiere al fondo del asunto que motivó en su día la
reclamación de información de la AEPD y, posteriormente, el inicio del
procedimiento sancionador, desde la Jefatura del Grupo de Comunicación y
Participación Ciudadana de la Policía Foral, el Subinspector Jefe de la unidad
informa que el ***FECHA.2 se publicó un tuit en la cuenta corporativa de
Twitter ***CUENTA.1, donde se informaba de la realización de un control
policial realizado en la localidad de ***LOCALIDAD.1 (Navarra), en el que se
insertaron tres frases que implicaban otras tantas presuntas infracciones
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/18
administrativas, además de una fotografía de un vehículo. Por error, en el
precitado tuit se insertó la fotografía de un vehículo cuyo conductor también fue
denunciado en el control indicado, pero que no correspondía a la información
escrita y hechos reflejados en el tuit.
Continúa el Subinspector Jefe de Grupo manifestando que, a diferencia de lo
que plantea el denunciante sobre el carácter reconocible del vehículo y por ello
asociable a su persona, que el modelo de vehículo es un modelo común y que
se le ?pixeló? la matrícula con el fin de preservar a su titular que, por otro lado,
podía ser o no el conductor denunciado. Por lo que se refiere a la identificación
del lugar de ejecución del control policial, la localidad de ***LOCALIDAD.1
(Navarra), tal cita se realizó como constatación de lugar, pero no se asocia a
que los vehículos revisados, ni los particulares denunciados fueran naturales,
vecinos o residentes en la mencionada localidad. A tales efectos, para la
designación del lugar de la actuación policial se siguen los criterios generales
establecidos por el Gabinete de Prensa del Gobierno de Navarra que señala
como identificable la localidad cuando se superan los 2.000 habitantes,
mientras que en caso de localidades de menos densidad demográfica se citan
indicadores geográficos más amplios, como puedan ser los Valles, Cendeas o
incluso Merindad y siempre y cuando se acrediten la concurrencia de
situaciones presuntamente infractoras bien en el ámbito de la seguridad
ciudadana, bien en el ámbito de la seguridad vial. En cuanto al posible
reconocimiento del perro que aparece en la fotografía, asegura el gestor del
Grupo de Comunicación que tal detalle pasó totalmente inadvertido para quien
editó la imagen, recortándola y pixelando la matrícula del vehículo.
El informe del encargado de la gestión de las redes sociales de la Policía Foral,
finaliza el mismo relatando una serie de circunstancias de interés para el
enjuiciamiento de los hechos atribuidos.
- El personal del Grupo de Participación y Comunicación Ciudadana de Policía
Foral dispone de la formación genérica y básica sobre protección de datos
personales impartida a todos los funcionarios del Cuerpo policial, estando en
este momento a la espera de recibir una formación específica que se ejecutará
como ya se ha hecho constar, antes de finalizar el año 2023.
- Desde hace años, en el Grupo se ha optado por evitar en las fotografías
cualquier posible identificación de los protagonistas, bien pixelando sus
características físicas, bien evitando ofrecer información asociable a la
localización, criterios que se vienen aplicando junto con otras medidas como
evitar la reseña mediante iniciales de identificación, por ejemplo.
- Que lo habitual en este tipo de publicaciones es que los usuarios planteen
sus quejas o desacuerdos a través de la propia red social, incluida la solicitud
de borrado de los documentos que suele ser atendida de forma inmediata por
el Grupo de Comunicación si se considera que puede lesionar derechos o
atentar contra la intimidad de las personas. En el presente caso el denunciante
optó por utilizar un canal de queja totalmente ajeno al grupo de gestión de
redes que dificultó el acceder a su petición.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/18
- Que a raíz de la recepción del inicio del procedimiento sancionador ahora en
marcha, en la misma mañana del día 11 de agosto de 2023, se procedió a la
retirada del tuit, cuestión que puede ser comprobada por la AEPD en la propia
cuenta oficial de Policía Foral en Twitter ***CUENTA.1
SEXTO: Con fecha 8 de septiembre de 2023, se formuló propuesta de resolución en la
que se desestimaban las alegaciones al acuerdo de inicio y se proponía la declaración
de infracción:
- Artículo 5.1.f) del RGPD, infracción tipificada en el artículo 83.5 del RGPD.
- Artículo 32 del RGPD, infracción tipificada en el artículo 83.4 del RGPD.
SÉPTIMO: Notificada la propuesta de resolución conforme a las normas establecidas
en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), la parte reclamada presentó escrito
de alegaciones.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS PROBADOS
PRIMERO: Consta acreditado en el expediente que la POLICÍA en Twitter ha
publicado la foto del vehículo de la parte reclamante.
SEGUNDO: Según consta en el expediente, en la foto publicada se aprecia la imagen
de la parte reclamante reflejada en el retrovisor derecho, conjuntamente con los delitos
e infracciones cometidas por la persona que fue parada con anterioridad a la parte
reclamante, según manifestación del mismo, así como a su perro asomado a la
ventanilla trasera.
TERCERO: La publicación de la cita foto hace perfectamente identificable a la parte
reclamante.
FUNDAMENTOS DE DERECHO
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/18
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones previas
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 del RGPD, consta
la realización de un tratamiento de datos personales, toda vez que la POLICÍA realiza,
entre otros tratamientos, la recogida, conservación, utilización y difusión de datos personales
de los administrados, tales como: nombre y apellidos y dirección de correo
electrónico?etc.
La POLICÍA realiza esta actividad en su condición de responsable del tratamiento,
dado que es quien determina los fines y medios de tal actividad, en virtud del citado artículo
4.7 del RGPD.
En el presente caso, se ha publicado en el Twitter de la POLICÍA una foto del vehículo
de la parte reclamante, vehículo de características inusuales, existiendo muy pocos,
tanto en la comunidad y población (***LOCALIDAD.1, aprox. X.XXX habitantes),
según hace constar la parte reclamante en su reclamación.
Además, en la foto publicada se aprecia al perro de la parte reclamante asomado a la
ventanilla trasera y la imagen de la parte reclamante reflejada en el retrovisor derecho,
conjuntamente con los delitos e infracciones cometidas por la persona que fue parada
con anterioridad a la parte reclamante, según manifestación del mismo.
III
Alegaciones al acuerdo de inicio
En respuesta a las alegaciones presentadas por la entidad reclamada se debe señalar
lo siguiente, según el orden expuesto:
Con fecha 13 de febrero de 2023, la AEPD traslada una reclamación y solicita
información en relación a los hechos, dirigiéndose ?a la atención del
responsable del tratamiento o de su Delegado de Protección de Datos?. Desde
la Brigada de Régimen Interno se dio traslado a la unidad especializada de
Policía Foral, la Brigada de Desarrollo Tecnológico y Calidad.
Según informa el Inspector Jefe de la citada Unidad, tras la recepción de la
solicitud de información por parte de la AEPD, se inició una investigación para
la averiguación de los hechos que motivaron tal reclamación.
Efectivamente, la Agencia Española de Protección de Datos, de conformidad con
artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD), que ha
previsto un mecanismo previo a la admisión a trámite de las reclamaciones que se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/18
formulen ante la misma, dio traslado de la reclamación al Delegado de Protección de
Datos designado por los responsables o encargados del tratamiento, a los efectos
previstos en el artículo 37 de la citada norma, o a éstos cuando no los hubieren
designado, para que se procediese al análisis de dicha reclamación y a dar respuesta
en el plazo de un mes.
Si bien, transcurrido dicho plazo y hasta la fecha de hoy no se ha recibido respuesta
alguna.
Se revisaron todos los documentos gráficos asociados a esta denuncia que se
encuentra recogida en el Sistema de Información Policial, no encontrando
documentación gráfica alguna. Se comunicó con el responsable del Grupo de
Comunicación y Participación Ciudadana y se indicó que la fotografía había
sido enviada por los policías operativos al Grupo de Comunicación y que no se
encontraba entre los documentos gráfico-asociados al hecho imputado al
reclamante, la conducción bajo los efectos de sustancias psicotrópicas. Se
trataba, por lo tanto, de una imagen no acreditativa del presunto ilícito, más
bien de una imagen de la actuación que durante varias horas se realizó en el
lugar.
Deduce el responsable de la unidad de Desarrollo Tecnológico y Calidad que la
publicación de la fotografía incorporada a la red Twitter fue una interacción
entre los equipos operativos que actuaron en campo y el personal del Grupo de
Comunicación y Participación Ciudadana, sin alcanzar a ser elemento de la
prueba de la infracción.
Es evidente que la fotografía publicada corresponde a una imagen de actuación
policial, y que aun tratándose de eso de ?una imagen de actuación? evidencia que no
se han utilizado los medios corporativos, ni los mecanismos suficientes para no hacer
identificable a la persona de la fotografía publicada.
A la vista de los hechos, se transmitió al responsable del tratamiento de Policía
Foral y al propio Grupo de Comunicación y Participación Ciudadana que
cualquier documento gráfico sobre actuaciones policiales que se desee
publicitar deberá ser modificado de forma que sea imposible la identificación de
acompañantes, vestimentas, tatuajes, animales, objetos, vehículo etc.. o
cualquier otro tipo de elemento que pueda asociarse a la identidad de una
persona.
Para colaborar al control de la materia, se ha solicitado una formación
específica sobre legislación de Protección de Datos y datos personales para
los componentes del Grupo de Comunicación y Participación para el año 2023
que se espera impartir antes de que finalice el año 2023.
Asimismo, se ha creado un repositorio en una unidad de red de Policía Foral a
la que únicamente tiene permiso de acceso el Grupo de Comunicación y el
Responsable de seguridad y Protección de Datos de la Policía Foral, donde se
almacenarán todas las imágenes que sean publicadas en redes sociales con el
fin de ejercer un control estricto y real sobre todos los contenidos, texto e
imagen, susceptibles de ser publicitados.
Además, se ha desarrollado un procedimiento por el cual el Responsable de
Seguridad de Protección de datos verificará las imágenes publicadas junto con
el responsable del Grupo de Comunicación, con el fin de adquirir en Policía
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/18
Foral un criterio unificado sobre el tratamiento y publicación de documentos,
especialmente gráficos.
Finalmente, se ha iniciado un proyecto denominado ?Contenedor multimedia?,
dotado a su vez de un repositorio y software asociado al Sistema de
Información Policial que se implantará a lo largo de 2024, mediante el cual se
establece que todo documento gráfico, sea cual sea el formato, deberá estar
asociado a un hecho recogido en el Sistema de Información Policial. Una vez
introducido en el sistema, se tendrá control absoluto sobre su trazabilidad
quedando registrado en el mismo los movimientos (introducción, copia,
borrado), así como el usuario que lo realiza, En ningún caso se permitirá la
existencia de documentos gráficos en la red de Policía Foral no asociados o al
alcance de los usuarios generales, por lo que se implementará un sistema que
no permita su descarga, excepto en el mencionado contenedor.
En contestación a lo expuesto, hay que mencionar que todas las medidas de
seguridad adoptadas para evitar que se produzcan incidentes como el ocurrido entran
dentro de sus obligaciones en cumplimiento de la normativa de protección de datos; ya
que, como responsable del tratamiento de datos, está obligado a aplicar las medidas
técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo que presente el tratamiento de datos.
No obstante, este organismo valora positivamente las medidas de seguridad
adoptadas con posterioridad; si bien, eso no desvirtúa la comisión de las citadas
infracciones.
Por lo que se refiere al aspecto formal de recepción de la reclamación remitida
por la AEPD el 13/02/2023, añade el Inspector Jefe de la Brigada de Desarrollo
Tecnológico y Calidad, que la misma se recepcionó en febrero de 2023 y a
partir de ese momento se realizaron todas las acciones descritas, si bien por
cuestiones no conocidas, la respuesta comunicando las acciones puestas en
marcha no fue remitida en plazo a la Agencia Española de Protección de
Datos.
Efectivamente, a día de hoy no se ha recibido, ni dentro ni fuera de plazo, respuesta
alguna al traslado de la reclamación y el requerimiento de información a esta Agencia
Española de Protección de Datos.
Por su parte, por lo que se refiere al fondo del asunto que motivó en su día la
reclamación de información de la AEPD y, posteriormente, el inicio del
procedimiento sancionador, desde la Jefatura del Grupo de Comunicación y
Participación Ciudadana de la Policía Foral, el Subinspector Jefe de la unidad
informa que el ***FECHA.2 se publicó un tuit en la cuenta corporativa de
Twitter ***CUENTA.1, donde se informaba de la realización de un control
policial realizado en la localidad de ***LOCALIDAD.1 (Navarra), en el que se
insertaron tres frases que implicaban otras tantas presuntas infracciones
administrativas, además de una fotografía de un vehículo. Por error, en el
precitado tuit se insertó la fotografía de un vehículo cuyo conductor también fue
denunciado en el control indicado, pero que no correspondía a la información
escrita y hechos reflejados en el tuit.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/18
La alegación de un error en la información escrita y los hechos reflejados en el tuit
publicado; en ningún caso, desvirtúa los hechos ocurridos.
Continúa el Subinspector Jefe de Grupo manifestando que, a diferencia de lo
que plantea el denunciante sobre el carácter reconocible del vehículo y por ello
asociable a su persona, que el modelo de vehículo es un modelo común y que
se le ?pixeló? la matrícula con el fin de preservar a su titular que, por otro lado,
podía ser o no el conductor denunciado. Por lo que se refiere a la identificación
del lugar de ejecución del control policial, la localidad de ***LOCALIDAD.1
(Navarra), tal cita se realizó como constatación de lugar, pero no se asocia a
que los vehículos revisados, ni los particulares denunciados fueran naturales,
vecinos o residentes en la mencionada localidad. A tales efectos, para la
designación del lugar de la actuación policial se siguen los criterios generales
establecidos por el Gabinete de Prensa del Gobierno de Navarra que señala
como identificable la localidad cuando se superan los 2.000 habitantes,
mientras que en caso de localidades de menos densidad demográfica se citan
indicadores geográficos más amplios, como puedan ser los Valles, Cendeas o
incluso Merindad y siempre y cuando se acrediten la concurrencia de
situaciones presuntamente infractoras bien en el ámbito de la seguridad
ciudadana, bien en el ámbito de la seguridad vial. En cuanto al posible
reconocimiento del perro que aparece en la fotografía, asegura el gestor del
Grupo de Comunicación que tal detalle pasó totalmente inadvertido para quien
editó la imagen, recortándola y pixelando la matrícula del vehículo.
En relación a lo expuesto, debemos recordar que el artículo 4 del RGPD define datos
personales como: «? toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante
un identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona?».
Por tanto, para hablar de dato personal se requiere la concurrencia de un doble
elemento: por una parte, la existencia de una información o dato y de otra, que dicho
dato pueda vincularse a una persona física.
La publicación de la cita foto hace perfectamente identificable a la parte reclamante,
sin que se hayan utilizado los medios corporativos, ni los mecanismos suficientes para
no hacer identificable a la persona.
Es evidente que, las referencia a la localidad (***LOCALIDAD.1, aprox. X.XXX
habitantes), las características del coche en dicha localidad, así como la imagen del
perro en la fotografía publicada, hacen identificable a la parte reclamante.
El informe del encargado de la gestión de las redes sociales de la Policía Foral,
finaliza el mismo relatando una serie de circunstancias de interés para el
enjuiciamiento de los hechos atribuidos.
- El personal del Grupo de Participación y Comunicación Ciudadana de Policía
Foral dispone de la formación genérica y básica sobre protección de datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/18
personales impartida a todos los funcionarios del Cuerpo policial, estando en
este momento a la espera de recibir una formación específica que se ejecutará
como ya se ha hecho constar, antes de finalizar el año 2023.
- Desde hace años, en el Grupo se ha optado por evitar en las fotografías
cualquier posible identificación de los protagonistas, bien pixelando sus
características físicas, bien evitando ofrecer información asociable a la
localización, criterios que se vienen aplicando junto con otras medidas como
evitar la reseña mediante iniciales de identificación, por ejemplo.
- Que lo habitual en este tipo de publicaciones es que los usuarios planteen
sus quejas o desacuerdos a través de la propia red social, incluida la solicitud
de borrado de los documentos que suele ser atendida de forma inmediata por
el Grupo de Comunicación si se considera que puede lesionar derechos o
atentar contra la intimidad de las personas. En el presente caso el denunciante
optó por utilizar un canal de queja totalmente ajeno al grupo de gestión de
redes que dificultó el acceder a su petición.
- Que a raíz de la recepción del inicio del procedimiento sancionador ahora en
marcha, en la misma mañana del día 11 de agosto de 2023, se procedió a la
retirada del tuit, cuestión que puede ser comprobada por la AEPD en la propia
cuenta oficial de Policía Foral en Twitter ***CUENTA.1.
En este sentido, esta Agencia Española de Protección de Datos se ve obligada a
recordar que todo tratamiento de datos o información sobre personas físicas que
permitan su identificación implica el cumplimiento de la normativa vigente en materia
de protección de datos.
Por todo lo expuesto,
SE DESESTIMAN todas las alegaciones formuladas.
IV
Alegaciones a la propuesta de resolución
En respuesta a las alegaciones presentadas por la entidad reclamada se debe señalar
lo siguiente, según el orden expuesto:
1. El DECRETO FORAL 20/2019, de 6 de marzo, aprueba la política
de protección de datos y de seguridad de la información de la
Administración de la Comunidad Foral de Navarra. Es el documento base
mediante el cual se define el marco de referencia que permite la gestión de
la protección de datos y de la seguridad de la información en el contexto de
las actividades de tratamiento con datos personales y los sistemas de
información de la Administración de la Comunidad Foral de Navarra y sus
organismos públicos.
***URL.1
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/18
En este marco general se delimitan las diferentes responsabilidades y roles
necesarios para definirla, implantarla y gestionarla, roles que se integran en la
estructura orgánica existente. Respecto al Cuerpo de Policía Foral de Navarra:
a) Responsable del tratamiento: la persona que determina los fines y medios
del tratamiento, recae en la Consejera del Departamento de Interior, Función
Pública y Justicia.
e) Responsable del servicio: la persona que determina los requisitos
funcionales y de seguridad de los servicios prestados a partir de la información,
recae en el Jefe de la Policía Foral.
f) Responsable de seguridad de la información: la persona que determina las
decisiones para satisfacer los requisitos de seguridad, recae en el Jefe de la
Brigada de Desarrollo Tecnológico de la Policía Foral.
La Agencia Española de Protección de Datos, de conformidad con artículo 65.4
de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD),
como mecanismo previo a la admisión a trámite de la reclamación formulada
por Don A.A.A., y a los efectos previstos en el artículo 37 de la LOPDGDD, dio
traslado de la reclamación a Policía Foral de Navarra para que se procediese
al análisis de dicha reclamación y a dar respuesta en el plazo de un mes.
Establece el artículo 37.2 de la LOPDGDD que ?cuando el afectado presente
una reclamación ante la Agencia Española de Protección de Datos o, en su
caso, ante las autoridades autonómicas de protección de datos, aquellas
podrán remitir la reclamación al delegado de protección de datos a fin de que
este responda en el plazo de un mes.
Si transcurrido dicho plazo el delegado de protección de datos no hubiera
comunicado a la autoridad de protección de datos competente la respuesta
dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo
a lo establecido en el Título VIII de esta ley orgánica y en sus normas de
desarrollo.?
Siendo que la remisión de esta reclamación, para análisis y respuesta, se
notificó no a la Delegada de Protección de Datos en la Comunidad Foral de
Navarra, como indica la normativa, sino a Policía Foral de Navarra, esta
circunstancia pudo ser el origen, que no la justificación, de la inadecuada
coordinación interna dentro de esta Administración que derivó en la falta de
respuesta a la solicitud de información requerida.
En contestación a dicha alegación mencionar que el traslado a la reclamación se hace
de conformidad con lo dispuesto en el artículo 65.4 de la LOPDGDD.
?4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia
Española
de Protección de Datos podrá remitir la misma al delegado de protección de datos que
hubiera, en su caso, designado el responsable o encargado del tratamiento, al
organismo de supervisión establecido para la aplicación de los códigos de conducta o
al organismo que asuma las funciones de resolución extrajudicial de conflictos a los
efectos previstos en los artículos 37 y 38.2 de esta ley orgánica??
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/18
Si bien; en ningún caso, lo alegado desvirtúa la comisión de las infracciones citadas.
2. En el escrito de alegaciones al Acuerdo de iniciación de procedimiento
sancionador se explica que ?para colaborar al control de la materia, se ha
solicitado una formación específica sobre legislación de Protección de Datos y
datos personales para los componentes del Grupo de Comunicación y
Participación para el año 2023 que se espera impartir antes de que finalice el
año 2023.?
En tanto se concrete y materialice esta formación específica, con el objetivo de
recordar los principales puntos de la normativa en protección de, el personal
actual del Grupo de Comunicación y Participación se ha inscrito en la acción
formativa ?CURSO BÁSICO DE PROTECCIÓN DE DATOS PARA LAS
ADMINISTRACIONES PÚBLICAS DE NAVARRA?.
Es una formación online que imparte el Instituto Navarro de Administración
Pública entre el 3 de octubre y el 24 de octubre de 2023, de 10 horas de
duración, destinado a todo el personal de las Administraciones Públicas que
trata datos personales.
En contestación a dicha alegación, hay que mencionar que todas las medidas de
seguridad adoptadas para evitar que se produzcan incidentes como el ocurrido entran
dentro de sus obligaciones en cumplimiento de la normativa de protección de datos; ya
que, como responsable del tratamiento de datos, está obligado a aplicar las medidas
técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo que presente el tratamiento de datos.
Dichas medidas no solo son medidas de los sistemas informáticos sino también
medidas de organizativas de factor humano.
No obstante, este organismo valora positivamente las medidas de seguridad
adoptadas con posterioridad; si bien, eso no desvirtúa la comisión de las citadas
infracciones.
3. Por otra parte, como ya se comunicó en el trámite de audiencia, desde
Policía Foral se procedió a la retirada del tuit, cuestión que puede ser
comprobada por la AEPD en la propia cuenta oficial de Policía Foral en Twitter
***CUENTA.1.
Además, se ha comunicado a los principales medios digitales que se ha
procedido a eliminar este tuit de la cuenta oficial de Policía Foral en Twitter,
debido a que el tuit incluía una fotografía que, por motivos relacionados con la
protección de datos, ha sido retirada de las redes sociales de Policía y que no
debe usarse.
En contestación a dicha alegación, hay que reseñar que dado lo ocurrido las medidas
adoptadas, que se alegan, son las medidas mínimas que corresponden a la parte
sancionada, pues es el responsable del tratamiento quien conoce plenamente su
organización y ha de decidir, en base a la responsabilidad proactiva y en enfoque de
riesgos, cómo cumplir con el RGPD y la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/18
Si bien, la eliminación del tuit de la cuenta oficial de Policía Foral en Twitter no exime
de la responsabilidad en la comisión de la citada infracción.
V
Artículo 5.1.f) del RGPD
El artículo 5.1.f) ?Principios relativos al tratamiento? del RGPD establece:
?1. Los datos personales serán:
(?)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales
, incluida la protección contra el tratamiento no autorizado o ilícito y contra su
pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u
organizativas apropiadas («integridad y confidencialidad»).?
En el presente caso, consta que la POLICÍA en Twitter ha publicado la foto del
vehículo de la parte reclamante.
Ha manifestado la parte reclamante que se trata de un vehículo de características
inusuales, de los pocos o únicos que existen, tanto en la comunidad y población
(***LOCALIDAD.1, aprox. X.XXX habitantes).
Además, en la foto publicada se aprecia la imagen de la parte reclamante reflejada en
el retrovisor derecho, conjuntamente con los delitos e infracciones cometidas por la
persona que fue parada con anterioridad a la parte reclamante, según manifestación
del mismo, así como a su perro asomado a la ventanilla trasera.
Dicha publicación va acompañada del siguiente texto:
(?).
En este sentido, debemos recordar la definición de dato personal contenido en la artículo
4 del RGPD: ?? «datos personales»: toda información sobre una persona física
identificada o identificable («el interesado»); se considerará persona física identificable
toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular
mediante un identificador, como por ejemplo un nombre, un número de identificación
, datos de localización, un identificador en línea o uno o varios elementos propios
de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha
persona??.
Sin olvidar que, en el considerando 26 del mismo texto legal se dispone que los principios
de la protección de datos deben aplicarse a toda la información relativa a una persona
física identificada o identificable.
Por todo ello, de conformidad con las evidencias de las que se dispone se ha producido
una infracción del artículo 5.1 f) del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/18
VI
Tipificación de la infracción del artículo 5.1.f) del RGPD
La citada infracción del artículo 5.1.f) del RGPD supone la comisión de la infracción tipificada
en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales para
la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose
de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento
a tenor de los artículos 5, 6, 7 y 9; (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que:
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias
a la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 72 ?Infracciones consideradas muy graves? de la LOPDGDD indica:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos
en el artículo 5 del Reglamento (UE) 2016/679. (?)?
VII
Artículo 32 del RGPD
El Artículo 32 ?Seguridad del tratamiento? del RGPD establece:
?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza
, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad
y gravedad variables para los derechos y libertades de las personas físicas, el responsable
y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas
para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya
, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/18
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales
de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia
de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos, en particular como consecuencia
de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos
, conservados o tratados de otra forma, o la comunicación o acceso no autorizados
a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo
de certificación aprobado a tenor del artículo 42 podrá servir de elemento para
demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente
artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que
cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga
acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones
del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de
los Estados miembros?.
En el presente caso, no consta que la POLICÍA dispusiese de medidas de seguridad
razonables en función de los posibles riesgos estimados.
A través del procedimiento se ha comprobado que no se habían utilizado medios corporativos
para captar posibles ilícitos y tampoco han existido los mecanismos suficientes
para no hacer identificable a la persona, lo que deja entrever el desconocimiento
del personal que ha intervenido en el proceso de publicación, así como la falta de medidas
técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado
al riesgo, que hubiera impedido esa publicación y hubiera ofrecido mayores garantías
de privacidad a las personas, impidiendo la vulneración de la confidencialidad,
integridad y disponibilidad de los sistemas y servicios de tratamiento.
Por todo ello, de conformidad con las evidencias de las que se dispone se ha producido
una infracción del artículo 32 del RGPD.
VIII
Tipificación de la infracción del artículo 32 del RGPD
La citada infracción del artículo 32 del RGPD supone la comisión de la infracción tipificada
en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose
de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/18
5) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43; (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6
del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a
la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?
de la LOPDGDD indica:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran
graves y prescribirán a los dos años las infracciones que supongan una vulneración
sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
?
f) La falta de adopción de aquellas medidas técnicas y organizativas que
resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo
del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento
(UE) 2016/679. (?)?.
IX
Sanción por la infracción del artículo 5.1 f) y del artículo 32 del RGPD
El Artículo 83 ?Condiciones generales para la imposición de multas administrativas? del
RGPD apartado 7 establece:
?Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo
58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede
, y en qué medida, imponer multas administrativas a autoridades y organismos públicos
establecidos en dicho Estado miembro.?
Asimismo, el artículo 77 ?Régimen aplicable a determinadas categorías de responsables
o encargados del tratamiento? de la LOPDGDD dispone lo siguiente:
1. El régimen establecido en este artículo será de aplicación a los tratamientos de los
que sean responsables o encargados: ...
c) La Administración General del Estado, las Administraciones de las comunidades
autónomas y las entidades que integran la Administración Local?
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen
alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica
, la autoridad de protección de datos que resulte competente dictará resolución
declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar
para que cese la conducta o se corrijan los efectos de la infracción que se hubiese
cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/18
La resolución se notificará al responsable o encargado del tratamiento, al órgano del
que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición
de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de
datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar
serán las establecidas en la legislación sobre régimen disciplinario o sancionador que
resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se
acredite la existencia de informes técnicos o recomendaciones para el tratamiento que
no hubieran sido debidamente atendidos, en la resolución en la que se imponga la
sanción se incluirá una amonestación con denominación del cargo responsable y se
ordenará la
publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas
de
las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al
amparo de este artículo. (?)?
En consecuencia, corresponde dictar resolución declarando la infracción cometida por
la POLICÍA.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR que POLICÍA FORAL DE NAVARRA, con NIF S3100003G, ha
infringido lo dispuesto en el Artículo 5.1.f) del RGPD y Artículo 32 del RGPD,
infracciones tipificadas en los Artículos 83.5 y 83.4 del RGPD, respectivamente.
SEGUNDO: NOTIFICAR la presente resolución a la POLICÍA FORAL DE NAVARRA.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de
conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/18
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-010623
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es