Resolución de la Agencia Española de Protección de Datos PS-00257-2020 de 11 de enero de 2021

Cuestión

1 / 7

Procedimiento Nº: PS/00257/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes:

ANTECEDENTES

PRIMERO : D. A.A.A. (en adelante, el reclamante) con fecha 20 de enero de...

Contestacion

1/7

? Procedimiento Nº: PS/00257/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes:

ANTECEDENTES

PRIMERO: D. A.A.A. (en adelante, el reclamante) con fecha 20 de enero de 2020

interpuso reclamación ante la Agencia Española de Protección de Datos. La

reclamación se dirige contra el Ayuntamiento de Arroyomolinos con NIF P2801500F

(en adelante, el reclamado).

El reclamante manifiesta que recibió a su nombre una notificación del

Ayuntamiento, y en la misma constan los datos y los hechos que motivan la imposición

de una sanción a otra persona.

Por otra parte, señala que el consistorio no tiene Delegado de Protección de

Datos.

Junto a la reclamación aporta la notificación que le han remitido.

SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los

documentos aportados por el reclamante se traslada al reclamado la reclamación.

Con fecha 24 de julio de 2020 el reclamado manifiesta: ?que el 20 de enero de

2020 se le comunico al reclamante que el día de la notificación de la Resolución hubo

un fallo informático, y en la notificación de su procedimiento se fusionó el cuerpo de la

resolución de la anterior notificación. Se procedió por parte del departamento a revisar

las notificaciones generadas, no encontrando ninguna más errónea, asimismo se

procedió a añadir más controles revisorios de los documentos generados para que

esta situación no se repita.

Asimismo, se le comunicó que sus datos no han sido cedidos a terceros,

únicamente han sido utilizados para la notificación del procedimiento entre el

reclamante y este Ayuntamiento?.

TERCERO: Con fecha 25 de septiembre de 2020, la Directora de la Agencia Española

de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, con

arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del

Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,

LPACAP), por la presunta infracción del Artículo 37 del RGPD, tipificada en el Artículo

83.4 del RGPD.

CUARTO: Notificado el citado acuerdo de inicio, el reclamado presentó escrito de

alegaciones en el que, en síntesis, manifestaba: ?que con fecha 28 de septiembre de

2020 se adjudicó por Decreto nº 2497/2020 contrato de servicios de asistencia técnica

para el soporte y actualización en materia de seguridad de la información (ENS) y

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/7

protección de datos personales (RGPD-LOPDGDD) y Servicio de Delegado de

Protección de Datos, por un período de 12 meses.

Con antelación suficiente a la fecha de finalización del contrato y teniendo

como base el trabajo realizado por el DPD durante ese tiempo, ya está previsto licitar

públicamente por un máximo de 4 años el Delegado de Protección de Datos, con

objeto de que este Ayuntamiento cuente permanente con dicha figura.

En cumplimiento con el deber de comunicación de la designación del DPD por

este Ayuntamiento a la AEPD a tenor de lo previsto en el artículo 34.3 LOPDGDD, se

le indican a continuación los datos del mismo: START UP, S.L. CIF B33667494

Se adjunta al presente escrito: Decreto nº 2497/2020 de adjudicación de

contrato de servicio y propuesta técnica-económica de la empresa Start up CDF S.L.

en la que se detalla el contenido de las prestaciones a realizar?.

QUINTO: Con fecha 13 de octubre de 2020, el instructor del procedimiento acordó la

apertura de un período de práctica de pruebas, teniéndose por incorporadas las

actuaciones previas de investigación, E/02287/2020, así como los documentos

aportados por el reclamado en fecha 8 de octubre de 2020.

SEXTO: Con fecha 18 de noviembre de 2020 se formuló propuesta de resolución,

proponiendo se sancione con apercibimiento al Ayuntamiento de Arroyomolinos con

NIF P2801500F, por una infracción del Artículo 37 del RGPD, tipificada en el Artículo

83.4 del RGPD.

SÉPTIMO: Notificada la propuesta de resolución, el reclamado presentó escrito de

alegaciones en el que, en síntesis, manifestaba:

?PRIMERO.- Que con fecha 28 de septiembre de 2020 se adjudicó por Decreto nº

2497/2020 contrato de servicio de asistencia técnica para el soporte y actualización en

materia de seguridad de la información (ENS) y protección de datos personales

(RGPD-LOPGDD) y Servicio de Delegado de Protección de Datos, por un periodo de

12 meses a la empresa Start up CDF S.L.

SEGUNDO.- Se dio cumplimiento al deber de comunicación de la designación del

DPD por este Ayuntamiento a la AEPD a tenor de lo previsto en el artículo 34.3

LOPDGDD.

TERCERO.- En la propuesta de resolución de la AEPD se indica que ?En este caso

concreto, se ha acreditado en virtud de los documentos aportados con sus

alegaciones al acuerdo de inicio que el reclamado ha designado Delegado de

Protección de Datos: START UP, S.L. CIF B33667494.?

CUARTO.- Tomando en consideración la Sentencia de la Audiencia Nacional de

29/11/2013, (Rec. 455/2011), Fundamento de Derecho Sexto, que sobre el

apercibimiento regulado en el artículo 45.6 de la LOPD y a propósito de su naturaleza

jurídica advierte que ?no constituye una sanción? y que se trata de ?medidas

correctoras de cesación de la actividad constitutiva de la infracción? que sustituyen a la

sanción. La Sentencia entiende que el artículo 45.6 de la LOPD confiere a la AEPD

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/7

una ?potestad? diferente de la sancionadora cuyo ejercicio se condiciona a la

concurrencia de las especiales circunstancias descritas en el precepto. En

congruencia con la naturaleza atribuida al apercibimiento como una alternativa a la

sanción cuando, atendidas las circunstancias del caso, el sujeto de la infracción no es

merecedor de aquella, y considerando que el objeto del apercibimiento es la

imposición de medidas correctoras, la SAN citada concluye que cuando éstas ya

hubieran sido adoptadas, lo procedente en Derecho es acordar el archivo de las

actuaciones?.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS

PRIMERO: El reclamado carece de la figura de delegado de protección de datos.

SEGUNDO: El Ayuntamiento de Arroyomolinos, ha aportado en el presente

procedimiento sancionador las medidas que ha adoptado, entre las mismas consta:

Contrato de servicios de asistencia técnica para el soporte y actualización en

materia de seguridad de la información (ENS) y protección de datos personales

(RGPD-LOPDGDD) y Servicio de Delegado de Protección de Datos, por un período de

12 meses.

Comunicación de la designación del Delegado de Protección de Datos: START

UP, S.L. CIF B33667494

Decreto nº 2497/2020 de adjudicación de contrato de servicio y propuesta

técnica-económica de la empresa START UP CDF S.L.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de

control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de

la Agencia Española de Protección de Datos es competente para resolver este

procedimiento.

II

Las Administraciones públicas actúan como responsables de tratamientos de datos de

carácter personal y, en algunas ocasiones, ejercen funciones de encargados de

tratamiento, por lo que les corresponde, siguiendo el principio de responsabilidad

proactiva, atender las obligaciones que el RGPD detalla, entre las que se incluye, la

obligación de nombrar a un delegado de protección de datos y comunicarlo a esta

AEPD

La obligación viene impuesta por el artículo 37 del RGPD, que indica:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/7

?1. El responsable y el encargado del tratamiento designarán un delegado de

protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los

tribunales que actúen en ejercicio de su función judicial;?

El Articulo 37.3 y 4 del RGPD señala sobre la designación del DPD ?Cuando el

responsable o el encargado del tratamiento sea una autoridad u organismo público, se

podrá designar un único delegado de protección de datos para varias de estas

autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4. En casos distintos de los contemplados en el apartado 1, el responsable o el

encargado del tratamiento o las asociaciones y otros organismos que representen a

categorías de responsables o encargados podrán designar un delegado de protección

de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados

miembros. El delegado de protección de datos podrá actuar por cuenta de estas

asociaciones y otros organismos que representen a responsables o encargados.?

La LOPDGDD determina en su artículo 34.1 y 3: ?Designación de un delegado de

protección de datos ?

1. Los responsables y encargados del tratamiento deberán designar un delegado de

protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento

(UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez

días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades

autonómicas de protección de datos, las designaciones, nombramientos y ceses de

los delegados de protección de datos tanto en los supuestos en que se encuentren

obligadas a su designación como en el caso en que sea voluntaria.

La infracción se contempla como tal en el artículo 83.4.a del RGPD que señala:?4. Las

infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a

39, 42 y 43;?

El artículo 83.7 del RGPD indica:

?Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo

58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede

, y en qué medida, imponer multas administrativas a autoridades y organismos públicos

establecidos en dicho Estado miembro?

El artículo 58.2 del RGPD indica: ?Cada autoridad de control dispondrá de todos los

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/7

siguientes poderes correctivos indicados a continuación:

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando

las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento

;

d) ordenar al responsable o encargado del tratamiento que las operaciones de

tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,

de una determinada manera y dentro de un plazo especificado?.

En tal sentido, el artículo 77.1 c) y 2, 4 y 5 de la LOPGDD, indica:

1. El régimen establecido en este artículo será de aplicación a los tratamientos de los

que sean responsables o encargados:

c) La Administración General del Estado, las Administraciones de las Comunidades

autónomas y las entidades que integran la Administración Local.

2 ?Cuando los responsables o encargados enumerados en el apartado 1 cometiesen

alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley

orgánica, la autoridad de protección de datos que resulte competente dictará

resolución sancionando a las mismas con apercibimiento. La resolución establecerá

asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan

los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del

que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición

de interesado, en su caso.?

4.Se deberán comunicar a la autoridad de protección de datos las resoluciones que

recaigan en relación con las medidas y actuaciones a que se refieren los apartados

anteriores.

5.Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas

de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas

al amparo de este artículo.?

III

El artículo 73 de la LOPDDG indica: Infracciones consideradas graves:

?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se

consideran graves y prescribirán a los dos años las infracciones que supongan una

vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

v) El incumplimiento de la obligación de designar un delegado de protección de datos

cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento

(UE) 2016/679 y el artículo 34 de esta ley orgánica.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/7

Mediante escrito de alegaciones el reclamado, ha manifestado que tiene ya designado

Delegado de Protección de Datos.

Pese a ello, la Agencia Española de Protección de Datos, sanciona al reclamado con

una sanción de apercibimiento ya que éste debió contar con un delegado de

protección de datos de conformidad con lo establecido en el artículo 37 del RGPD,

desde el 25 de mayo de 2018, momento en el que entró en vigor el RGPD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la

Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER al AYUNTAMIENTO DE ARROYOMOLINOS, con NIF

P2801500F, por una infracción del Artículo 37 del RGPD, tipificada en el Artículo 83.4

del RGPD, una sanción de apercibimiento.

SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE

ARROYOMOLINOS.

TERCERO : COMUNICAR la presente resolución al Defensor del Pueblo, de

conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contencioso-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/7

administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-131120

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es