Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00345-2022 de 19 de julio de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 154 min
Órgano: Agencia Española de Protección de Datos
Fecha: 19/07/2023
Num. Resolución: PS-00345-2022
Cuestión
1 / 60Procedimiento Nº: EXP202201681 (PS/00345/2022)
RESOLUCION DEL PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos ante
el COLEGIO OFICIAL DE ARQUITECTOS DE GRANADA, con CIF.: Q1875003D,
titular de la página web,...
Contestacion
1/60
? Procedimiento Nº: EXP202201681 (PS/00345/2022)
RESOLUCION DEL PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos ante
el COLEGIO OFICIAL DE ARQUITECTOS DE GRANADA, con CIF.: Q1875003D,
titular de la página web, www.coagranada.es/ (en adelante ?la parte reclamada?), en
virtud de la reclamación presentada por A.A.A., (en adelante, ?la parte reclamante?),
por la presunta vulneración de la normativa de protección de datos: Reglamento (UE)
2016/679, del Parlamento Europeo y del Consejo, de 27/04/16, relativo a la Protección
de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la
Libre Circulación de estos Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre,
de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD),
y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y
Comercio Electrónico (LSSI) y atendiendo a los siguientes:
ANTECEDENTES
PRIMERO: Con fecha 21/12/21, tuvo entrada en esta Agencia, a través del Consejo de
Transparencia y Protección de Datos de la Junta de Andalucía, escrito presentado por
el reclamante, en la que indicaba, entre otras, lo siguiente:
?Se viene observando como el Colegio incumple de forma reiterada la
normativa vigente en materia de protección de datos de carácter personal,
poniendo así en peligro la privacidad de los datos de los colegiados y por tanto
sus derechos.
El primero de los hechos sobre los que se formula la presente reclamación,
está referido a la ausencia comunicación de Delegado de Protección de Datos
del Colegio Oficial de Arquitectos de Granada al Consejo de Transparencia y
Protección de Datos de Andalucía. Recordemos que según la legislación
vigente (Art. 34.1.A. de la LOPDGDD) los Colegios Profesionales están
obligados a la designación de un Delegado de Protección de Datos y por ende
de su notificación al organismo competente, en este caso el Consejo de
Transparencia y Protección de Datos de Andalucía.
Así mismo, y en relación al nombramiento de Delegado de Protección de
Datos, según se desprende del documento que se acompaña (Documento
nº1), la Junta de Gobierno del Colegio, en sesión celebrada el 11 de abril de
2019 adoptó el siguiente acuerdo: ?Designar al ***PUESTO.1 del Colegio
Oficial de Arquitectos como Delegado de Protección de Datos para el Colegio
de Arquitectos?
Independientemente de que el nombramiento podría vulnerar los requisitos
fijados por el art. 37.5 del RGPD, relativas a las cualidades y conocimientos del
DPD, lo que sí que parece evidente, es que dicho nombramiento podría
contravenir los postulados del Grupo de Trabajo del Art. 29 cuando en su
documento ?Directrices sobre los Delegados de Protección de Datos? indican
que la organización debe garantizar la ausencia de conflicto de intereses en la
figura del DPD siempre que este preste otras funciones, destacando que ?el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/60
DPD no puede ocupar un cargo en la organización que le lleve a determinar los
fines y medios del tratamiento.?
En la dirección web https://coagranada.es/quejas-y-reclamaciones/
correspondiente a la página web del Colegio Oficial de Arquitectos de Granada,
existen dos enlaces para la descarga de sendos formularios para la
formulación de quejas y reclamaciones, pudiéndose observar en dichos
impresos (Documentos nº2 y 3) la existencia una política de privacidad que no
reúne todos los requisitos exigidos por los arts. 12 y 13 del RGPD y lo que
resulta más grave, se indica como Responsable del Tratamiento al
***PUESTO.1 del Colegio, cuestión que genera una clara desinformación en
los interesados, ya que como bien conoce el órgano al que me dirijo el
Responsable del Tratamiento no es el ***PUESTO.1 sino el propio Colegio
Oficial de Arquitectos de Granada, lo que puede generar una evidente
confusión y desinformación a los interesados. Más grave es aún, cuando el
cargo de DPD y el RGPD recae en la misma persona, el ***PUESTO.1 del
Colegio.
La página web https://coagranada.es/ presenta un aviso informativo sobre
cookies que incumple las últimas directrices de la AEPD ya que según se
indica en dicho aviso informativo la mera utilización del sitio web implica la
aceptación para instalación de cookies.
La política de privacidad de la página web del Colegio Oficial de Arquitectos de
Granada, que se encuentra disponible en la siguiente dirección web
(https://coagranada.es/politica-de-privacidad-y-tratamiento-de-datos/
(Documento nº4) posee las siguientes deficiencias: 1.- No se indican los datos
de contacto del Delegado de Protección de Datos. 2.- Incorrecta aplicación de
la base legitimadora del consentimiento en el apartado nº5 de la política, al
elegirse esta base como la que legitima el tratamiento de datos personales
derivados del envío de correos electrónicos, sin que conste un mecanismo de
manifestación del consentimiento que cumpla con los requisitos establecidos
por la legislación vigente. 3.- No se identifican de forma clara e inequívoca las
bases legitimadoras del tratamiento de datos, ya que en el apartado nº3 de
dicha política se indica literalmente ?Siempre se requerirá el consentimiento
para el tratamiento de sus datos personales que pueda ser para uno o varios
fines específicos sobre los que se informará previamente con absoluta
transparencia?. Sin embargo, posteriormente en el apartado nº6 de la web, se
detallan otras bases legitimadoras diferentes al consentimiento, produciéndose
confusión sobre las verdaderas bases legitimadoras aplicadas por la entidad.
Así mismo, se pudo apreciar la existencia de políticas de privacidad no
adaptadas a la normativa vigente (Ej. Formulario de Solicitud de visado que se
adjunta como Documento Nº 5).
Finalmente, se desea hacer constar que tal y como se puso de manifiesto en el
escrito dirigido al Colegio Oficial de Arquitectos de Granada en fecha 23-03-
2021 (Documento nº6), existen motivos fundados para creer que los
expedientes disciplinarios instruidos por el Colegio no gozan de las
correspondientes medidas técnicas y organizativas que garanticen la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/60
confidencialidad e integridad de los datos personales contenidos en los
mismos, ya que no existe un registro de incorporación de documentos ni
actuaciones al expediente.
Al escrito de reclamación se acompaña la siguiente documentación relevante para el
presente procedimiento:
- Copia del escrito que A.A.A., colegiado ***COLEGIADO.1, remite al
reclamante, el día 30/08/21, donde, entre otras, se puede leer:
o ?(?) La Junta de Gobierno del Colegio en su sesión celebrada el 11 de
abril de 2019 adoptó, entre otros, el siguiente acuerdo: ?(AIG)
11.04.19/08.- DESIGNAR AL ***PUESTO.1 DEL COLEGIO OFICIAL
DE ARQUITECTOS COMO DELEGADO DE PROTECCIÓN DE
DATOS PARA EL COLEGIO DE ARQUITECTOS.? Por lo tanto, puedo
informarte que, actualmente el Delegado de Protección de Datos del
Colegio Oficial de Arquitectos de Granada es su ***PUESTO.1 D.
B.B.B. (?)?.
- Copia de la ?Hoja de Reclamaciones? del Colegio Oficial de Arquitectos de
Granada donde se puede leer, entre otras, la siguiente información con
respecto a la política de protección de datos:
o Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº3 ,
18001 Granada . Secretaría General . Área de Atención al Colegiado y
al Usuario. Los datos recogidos formarán parte del Fichero del
COAGRANADA, siendo el Responsable el ***PUESTO.1 del mismo, a
quién se tendrá que dirigir escrito para el caso de ejercer los derechos
de acceso, oposición, rectificación y cancelación, de conformidad con la
L.O.P.D.
- Copia de la ?Solicitud de Visado? dirigida al Decano del Colegio Oficial de
Arquitectos de Granada, donde se puede leer, entre otras, la siguiente
información, respecto a la política de protección de datos:
o Conforme a lo establecido en la LO 15/1999 de Protección de Datos de
Carácter Personal, se informa de la existencia de un fichero
automatizado cuya finalidad es la prestación del servicio solicitado. Los
Solicitantes prestan expresamente su consentimiento para el
tratamiento y cesión de los datos existentes en el fichero automatizado
a los diversos Colegios Oficiales de Arquitectos españoles y a otros
órganos administrativos, a los efectos relacionados con la función de
visado. Los firmantes podrán ejercer el derecho de acceso,
rectificación, oposición y cancelación por escrito ante el C.O.A. de
Granada, con domicilio en Plaza de San Agustín Nº 3, 18001 Granada,
correo electrónico coagranada@coagranada.org
SEGUNDO: Con fecha 03/03/22, de conformidad con lo estipulado en el artículo 65.4
de la Ley LOPDGDD, por parte de esta Agencia, se dio traslado de dicha reclamación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/60
a la parte reclamada, para que procediese a su análisis e informase, en el plazo de un
mes, sobre lo que se exponía en el escrito de reclamación.
TERCERO: Con fecha 01/04/22, la parte reclamada, presentó escrito de contestación
a la solicitud realizada desde esta Agencia, en el cual, entre otras, manifestaba:
?Concretamente, el reclamante hace alusión al texto del Aviso Legal de
Primera Capa en relación con la Política de Cookies, que, a la fecha de la
reclamación, 21/12/21, mostraba: https://coagranada.sedelectronica.es/
?Utilizamos cookies para asegurar que damos la mejor experiencia al usuario
en nuestra web. Si sigues utilizando este sitio asumiremos que estás de
acuerdo Acepto.?
Este Aviso Legal de Primera Capa se ubicaba en la parte inferior de la pantalla,
y la fórmula para recabar el consentimiento era exclusivamente pulsando el
botón ?Acepto?, es decir, mediante una inequívoca acción realizada por el
usuario. Sin embargo, al continuar navegando, el banner de Aviso Inicial de
Primera Capa seguía apareciendo en caso de que el usuario desease
consultar la Política de Cookies, que se encontraba en el enlace ubicado en la
expresión resaltada en color naranja asumiremos que estás de acuerdo. En su
momento, se interpretó que, al seguir navegando, el usuario se mostraba de
acuerdo con el aviso proporcionado.
En fecha 29 de marzo de 2022 este Colegio contactó con la empresa
especializada en servicios de adecuación de protección de datos, la entidad
?PSN Sercon S.L.U.?, que ha analizado y realizado un informe previo de
potenciales irregularidades en la página web del COA, informe que se adjunta
al presente escrito como anexo I (ANÁLISIS INICIAL WEB COLEGIO OFICIAL
DE ARQUITECTOS DE GRANADA) en el que se recogen los principales
incumplimientos detectados en una primera aproximación al proceso de
regularización y adaptación al marco normativo vigente en protección de datos
y demás legislación aplicable a la web del COA Granada.
Ya han dado comienzo los trabajos de adecuación de la Política de Privacidad
de la web COA Granada y de su Política de Cookies, tal y como se puede
comprobar en los enlaces:
? https://coagranada.es/politica-de-privacidad-y-tratamiento-de-datos/
? https://coagranada.es/politica-sobre-recogida-y-tratamiento-de-cookies/
En ellos se señala que se está trabajando en su actualización y adecuación a
la legislación vigente. Los controles de eficacia referidos a la Política de
Privacidad, el COA Granada, con la asistencia de la entidad PSN Sercon SLU,
actualmente son los siguientes:
? Se está realizando un rediseño de la Política de Privacidad y de su Registro
de Actividades de Tratamiento siguiendo los criterios del Documento ?Informe
sobre Políticas de Privacidad en Internet, Adaptación al RGPD?, 2018- AEPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/60
? Se ha establecido un programa de auditoría anual, en consonancia con el
principio de responsabilidad proactiva del art. 24.1 del RGPD
En relación con las medidas adoptadas para la adecuación de la utilización de
las cookies a la normativa de aplicación en materia de protección de datos, ya
se ha modificado el Aviso de Primera Capa de Cookies, siguiendo las
directrices del Documento ?Guía sobre el uso de las Cookies?, publicado por la
AEPD 2020.
También se ha realizado una auditoría de las cookies existentes en la web del
COA Granada, con la utilización de las herramientas recomendadas por el
Instituto Nacional de Ciberseguridad, INCIBE, https://www.incibe.es/protege-tuempresa
/blog/son-lascookies-y-mostrarlas-sitio-web para, posteriormente,
realizar un análisis sobre su utilidad, necesidad y vigencia. El resultado de
dicho análisis está en proceso de elaboración.
Igualmente, se ha realizado la sustitución del mecanismo para recabar el
consentimiento, sustituyéndolo por un banner con las indicaciones establecidas
por la normativa de aplicación: titularidad de la web, finalidad de las cookies,
existencia de cookies de terceros y posibilidad de configuración de cookies,
rechazo y aceptación de las mismas.
El Colegio Oficial de Arquitectos de Granada, a través de su Junta de Gobierno
presidida por el Decano que suscribe el presente escrito, reconoce la
necesidad de adecuar la política de cookies y su política de privacidad. Es por
ello por lo que en fecha 30 de marzo del presente año, se decidió el inicio
inmediato de los trabajos de adecuación y adaptación de los aspectos
requeridos por esa AEPD de forma que se dé cumplimiento a lo establecido
tanto en la LOPDGDD, como en el RGDP y la LSSI.
Por consiguiente, en virtud de todo lo anteriormente expuesto, y puesto que el
COAGranada, se encuentra en proceso de implantación de las medidas
correctoras por iniciativa propia, solicita, respetuosamente, que se proceda al
ARCHIVO de la Reclamación que ha dado origen al Expediente 202201681
Este ha sido al criterio mantenido por esa Agencia Española de Protección de
Datos en su Resolución R/00461/2019 -Procedimiento Nº: A/00013/2019.
?Pues bien, en atención a las citadas circunstancias se considera necesario
subrayar que la Audiencia Nacional, en su Sentencia de 29 de noviembre de
2013, (Rec. 455/2011), Fundamento de Derecho Sexto advierte, a propósito de
la naturaleza jurídica de esta figura, la cual pese a referirse al apercibimiento
regulado en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal (LOPD) tiene plena aplicación al
apercibimiento regulado por la LSSI, que ?no constituye una sanción? y que se
trata de ?medidas correctoras de cesación de la actividad constitutiva de la
infracción? que sustituyen a la sanción. La Sentencia entiende que el artículo
45.6 de la LOPD (estas consideraciones deben entenderse hechas, por lo que
aquí respecta, al artículo 39 bis, 2 de la LSSI) confiere a la Agencia Española
de Protección de Datos una ?potestad? diferente de la sancionadora cuyo
ejercicio se condiciona a la concurrencia de las especiales circunstancias
descritas en el precepto
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/60
En congruencia con la naturaleza atribuida al apercibimiento -como una
alternativa a la sanción cuando, atendidas las circunstancias del caso, el sujeto
de la infracción no es merecedor de aquella- cuyo objeto es la imposición de
medidas correctoras, la SAN citada concluye que cuando las medidas
correctoras pertinentes ya hubieran sido adoptadas, lo procedente en Derecho
será acordar el Archivo de las actuaciones.
En el presente caso, teniendo en cuenta que las medidas correctoras que
procedería imponer fueron ya adoptadas por iniciativa propia, y que se ha
verificado que en la actualidad no se instalan cookies en el sitio web analizado,
en armonía con el pronunciamiento de la Audiencia Nacional recogido en la
SAN de 29/11/2013 (Rec. 455/2011) debe acordar el archivo de las
actuaciones del presente procedimiento?.
También cabe citar la Resolución R/03132/2016, de 19 diciembre, de esa
Agencia Española de Protección de Datos-Procedimiento Nº: A/00411/2016-:
?En congruencia con la naturaleza atribuida al apercibimiento como una
alternativa a la sanción cuando, atendidas las circunstancias del caso, el sujeto
de la infracción no es merecedor de la misma, la Sentencia de la Audiencia
Nacional citada concluye que cuando las medidas correctoras objeto del
apercibimiento ya hubieran sido adoptadas por el infractor, lo procedente en
Derecho es acordar el archivo de las actuaciones.
A la vista del pronunciamiento recogido en la Sentencia de la Audiencia
Nacional de 29/11/2013 (Rec. 455/2011), reforzado posteriormente en su
Sentencia de fecha 10/06/2014 (RJCA 2014, 571) (Rec. 166/2013), referentes
a los supuestos en los que el sujeto responsable de la infracción ha adoptado
las medidas correctoras oportunas para subsanar la situación creada , y en
armonía con lo señalado debe procederse al archivo de las actuaciones
practicadas.?. E, igualmente, las Resoluciones de esa AEPD R/02863/2016 de
14 diciembre - Procedimiento Nº: A/00242/2016-, R/02906/2015 de 17 de
noviembre- Procedimiento Nº: A/00172/2015- o R/00001/2015 de 145 de
enero- Procedimiento Nº: A/00289/2014.
La Sentencia de la Audiencia Nacional (Sala de lo Contencioso Administrativo,
Sección1ª) de 29 de noviembre 2013 - JUR 2014\14399-establecía lo siguiente:
?No obstante, dado que resultaba acreditado que la denunciada por iniciativa
propia había adoptado ya una serie de medidas correctoras , que comunicó a
la Agencia Española de Protección de Datos , y que esta había verificado que
los datos del denunciante no eran ya localizables en la web del denunciado, la
Agencia Española de Protección de Datos no consideró oportuno imponer a la
denunciada la obligación de llevar a cabo otras medidas correctoras , por lo
que no acordó requerimiento alguno en tal sentido a ésta. Recuérdese que al
tener conocimiento de la denuncia la entidad denunciada, procedió por
iniciativa propia a dirigirse a Google para que se eliminara la URL donde se
reproducían la Revista y el artículo, a solicitar a sus colaboradores que
suprimieran cualquier nombre de sus artículos o cualquier otra información
susceptible de parecer dato personal y que revisaran las citas del área privada
de la web para borrar cualquier otro dato sensible, y, por último, a revisar la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/60
configuración de los accesos para que los buscadores no tuvieran acceso a las
Revistas.
En consecuencia, si la AEPD estimaba adoptadas ya las medidas correctoras
pertinentes en el caso, como ocurrió, tal y como expresa la resolución
recurrida, la actuación administrativa procedente en Derecho era al archivo de
las actuaciones, sin practicar apercibimiento o requerimiento alguno a la
entidad denunciada, pues así se deduce de la correcta interpretación del
artículo 45.6 de la LOPD , atendida su interpretación sistemática y teleológica.?
En los mismos términos se pronuncian las Sentencia núm. 447/2016 de 23
septiembre y núm. 363/2016 de 8 julio, .dictadas por la Audiencia Nacional
(Sala de lo Contencioso-Administrativo, Sección1ª)-RJCA 2016\1072 y JUR
2016\166417- ?Por consiguiente, cuando, como ocurre en el supuesto que nos
ocupa, atendidas las circunstancias del caso y, en particular, la naturaleza de
los hechos y la concurrencia significativa de los criterios establecidos en el
apartado quinto del artículo 45 de la LOPD , se estime que el sujeto
responsable de la infracción no es merecedor de la sanción prevista para la
misma, y que en su lugar debe imponérsele la obligación de llevar a cabo
determinadas medidas correctoras, procediendo por ello la aplicación del
artículo 45.6 de la LOPD , no cabe la imposición de "apercibimiento" alguno
como medida de naturaleza sancionadora. Por el contrario, lo que procede en
tal caso es "apercibir" o requerir al sujeto responsable a fin de que cumpla en el
plazo que se le indique con tal obligación, tal y como se desprende de la
interpretación del precepto legal examinado>> . En igual sentido, se
pronuncian S 17 de octubre de 2014 (JUR 2014, 267483) -recurso Nº.
150/2013 -, 8 mayo 15 (JUR 2015, 154993) -recurso Nº. 122/2014 -, y 8 de julio
de 2016 (JUR 2016, 166417) -recurso Nº. 242/2014 -
Por tanto, a tenor de lo expuesto, no resulta aplicable, tal y como pretende la
parte actora, el apercibimiento, en vez de la sanción económica impuesta, pues
como ha quedado reflejado el apercibimiento recogido en la LOPD no tiene
naturaleza sancionadora?.
CUARTO: Con fecha 27/07/22, por parte de esta Agencia se accede al documento
?Hoja de Quejas y Reclamaciones de Colegiados?: https://coagranada.es/wp-content/
uploads/2021/02/Hoja_queja_reclamaciones_colegiados_V02.pdf , donde se puede
leer, en la parte inferior de la misma, debajo del formulario, la siguiente leyenda:
?Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº3 , 18001
Granada. Secretaría General . Área de Atención al Colegiado y al Usuario .
Los datos recogidos formarán parte del Fichero del COAGRANADA, siendo el
Responsable el ***PUESTO.1 del mismo, a quién se tendrá que dirigir escrito
para el caso de ejercer los derechos de acceso, oposición, rectificación y
cancelación, de conformidad con la L.O.P.D.?
QUINTO: Con fecha 27/07/22, por parte de esta Agencia se accede a la página web
https://www.coagranada.es/ comprobando en la misma, las siguientes características
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/60
respecto al tratamiento de datos personales, sobre su ?Política de Privacidad? y sobre
su ?Política de Cookies?:
a).- Sobre la obtención de los datos personales de los usuarios de la página
web:
1º.- A través del enlace >, situado en la parte superior de la página
principal, la web despliega un formulario donde se pueden introducir datos personales
de los usuarios como el nombre, el correo electrónico y el asunto.
Para poder enviar el formulario, el usuario debe cliquear obligatoriamente en la opción:
_ He leído y acepto la > >
b).- Sobre la ?Política de Privacidad? en la página web
Si se desea acceder a la ?Política de Privacidad? a través del enlace existente en el
formulario de contacto o a través del enlace existente en la parte inferior de la página
principal, la web redirige al usuario a una nueva página https://coagranada.es/politicade-privacidad-y-tratamiento-de-datos
/ , donde se proporciona información, respecto a
la protección de datos personales de: la identidad del titular de la web y del Delegado
de Protección de Datos; la finalidad de los datos personales obtenidos de los
colegiados; formación/eventos; usuarios web; servicios al ciudadano; Plazo de
conservación de los datos personales obtenidos; la legitimación del tratamiento de los
datos personales; los destinatarios; sobre los derechos que asisten a los usuarios y
dónde y cómo solicitarlos, así como la posibilidad de presentar reclamación ante la
autoridad competente.
c).- Sobre la Política de Cookies en la web:
Se procede a hacer la inspección con las herramientas de desarrollador que
proporciona el navegador Mozilla Firefox, en el que previamente se ha borrado la
caché y se han eliminado las cookies. También se ha utilizado la herramienta del
EDPS (Web Evidence Collector) para el análisis
Observando el panel de instalación de cookies, se puede comprobar que se utiliza una
cookie de sesión PHPSESSID y otra de Google, _GRECAPTCHA.
Según el Dictamen 4/2012 del WP 194 sobre la exención del requisito de
consentimiento de cookies, la exención aplicada a las cookies de autenticación podría
aplicarse a otras introducidas específicamente para reforzar la seguridad del servicio
solicitado, por ejemplo, aquellas cookies cuya finalidad es la de detectar intentos
erróneos y reiterados de conexión a un sitio web o para protección del sistema de
conexión frente a abusos como es el caso de _GRECAPTCHA.
Sin embargo, tras la navegación por el sitio web, se observa que se instalan cookies
de terceros de carácter no exceptuado, de las que no se informa en las políticas, a
pesar de no haber dado el consentimiento a través del banner. Se da la circunstancia
de que estas cookies analíticas se instalan a través de la inserción de un mapa
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/60
interactivo del Instituto para la Salud Geoambiental de la Fundación Vivo Sano en la
página: https://coagranada.es/mapa-zonas-radon-en-elnuevo-cte-db-hs6/ .
2.- Existe un banner de información sobre cookies en la página principal con el
siguiente mensaje:
?Utilizamos cookies propias y de terceros para fines analíticos, funcionales, de
rendimiento para ofrecerle servicios adecuados a su perfil, así como publicidad propia
y de terceros. La base de tratamiento es el consentimiento, salvo en el caso de las
cookies imprescindibles para el correcto funcionamiento del sitio web. Puede aceptar
todas las cookies pulsando el botón > o configurarlas o rechazar su uso
pulsando el botón >. Puede obtener más información en nuestra
>,
> > >
Si se desea rechazar todas las cookies que no sean técnicas o necesarias, cliqueando
en la opción >, se comprueba como la web sigue utilizando las mismas
cookies de terceros (de Google) indicadas anteriormente.
3.- Si se accede al panel de control de cookies a través del enlace >, la
web despliega una página o panel de control comprobando que los grupos de cookies
se encuentran premarcados en la opción de ?desactivadas?:
- Cookies Estrictamente Necesarias: Off ? On.
- Cookies Analítica y de Anuncios: Off ? On.
- Cookies Funcionales: Off ? On.
- Cookies Analíticas: Off ? On.
> >
Si se opta por ?Guardar cambios? sin haber aceptado ningún grupo de cookies, se
comprueba como la web sigue utilizando las mismas cookies indicadas anteriormente.
4.- Si se desea acceder a la ?Política de Cookies? a través del enlace existente en el
banner de información de la primera capa, a través del enlace existente en el panel de
control o a través del enlace existente en la parte inferior de la página principal, la web
redirige al usuario a una nueva página https://coagranada.es/politica-sobre-recogida-ytratamiento-de-cookies
/ donde se informa sobre: qué son las cookies, definición y
función genérica de las cookies; tipos de cookies; qué tipo de cookies utilizan en la
web y cuál es su finalidad; cómo desactivar las cookies; identifican las cookies
utilizadas y se proporciona información sobre cómo aceptar, denegar, revocar el
consentimiento o eliminar las cookies, a través de las herramientas instaladas en la
web o a través de los navegadores instalados en el equipo terminal.
SEXTO: Con fecha 06/09/22, la Directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo
dispuesto en los artículos 63 y 64 de la LPACAP, al apreciar indicios razonables de
vulneración de lo establecido en los artículos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/60
- Artículo 38.6 del RGPD, por el conflicto de intereses detectado en el
nombramiento del ***PUESTO.1 del Colegio como Delegado de Protección de
datos, con una sanción inicial de 5.000 euros (cinco mil euros). Asimismo, se
advertía que la infracción imputada, de confirmarse, podrá conllevar la
imposición de medidas, según el artículo 58.2 d) del RGPD. Junto a ello y de
conformidad con el artículo 58.2 del RGPD, se indicaba también que, la medida
correctiva que podría imponerse consistiría en ordenarle que nombrase un
Delegado de Protección de Datos en el que no se viera implicado en conflicto
de intereses, según estipula el artículo 38 del RGPD.
- Artículo 13 del RGPD, por la falta de información suministrada en las hojas de
reclamaciones, sobre el tratamiento de los datos personales obtenidos, con
una sanción inicial de 8.000 euros (ocho mil euros). Junto a ello y de
conformidad con el artículo 58.2 del RGPD, se indicaba que la medida
correctiva que podría imponerse consistiría en ordenarle que incluyese, en los
formularios utilizados en el Colegio, donde se obtienen datos personales, toda
la información referida en el artículo 13 del RGPD, referente al tratamiento de
los datos personales.
- Artículo 22.2 de la LSSI, respecto a la utilización de cookies de terceros de
carácter no exceptuado, sin el consentimiento del usuario, con una sanción
inicial de 1.000 euros (mil euros).
SÉPTIMO: Con fecha 29/09/22, la entidad reclama presenta escrito de alegaciones a
la incoación del expediente en el cual solicita el archivo del procedimiento en base a
las siguientes consideraciones:
1.- sobre el conflicto de intereses respecto del delegado de protección de datos de
este colegio.-
Señala que no cabe presumir, como se ha dicho, tal ?conflicto de intereses? tomando
solamente como base los Estatutos del COAGranada, en lo referente a la composición
y funciones de la Junta de Gobierno, de la Comisión Permanente y de las funciones
del ***PUESTO.1 del COAGranada, puesto que, de los preceptos estatutarios que se
invocan por esa AEPD (14.1, 13.2, 15 y 17) no se infiere existencia alguna de
?conflicto de intereses? por parte del ***PUESTO.1 del COAGranada respecto de la
tutela de los intereses de los Colegiados y de terceros, en materia de protección de
datos.
Respecto de la vulneración del art. 38.6 del RGPD, referido al eventual ?conflicto de
intereses?, resulta improcedente e insuficiente la enumeración de funciones de la Junta
de Gobierno, como de la Comisión Permanente y del ***PUESTO.1, todas ellas
establecidas en los Estatutos Particulares del Colegio Oficial de Arquitectos de
Granada, para alcanzar la conclusión de que ?es evidente la existencia de un conflicto
de intereses por parte del ***PUESTO.1 del Colegio Oficial de Arquitectos de Granada
para actuar como DPD de dicho Organismo.
El COAGranada procedió al nombramiento del DPD en la figura de su ***PUESTO.1
garantizando así la participación del Delegado de Protección de Datos en todas las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/60
cuestiones relativas a la protección de datos personales y, para su apoyo y
asesoramiento le dotó del concurso y asistencia de la Asesoría Jurídica externa.
Se hace referencia también a que el hecho de que el COAGranada designara a su
***PUESTO.1 como Delegado de Protección de Datos fue objeto de denuncia ante
esta Agencia con fecha 8 de julio de 2021 por el mismo reclamante y que fue
archivada mediante Resolución de esta AEPD el 11/11/21, por lo que, existen dos
Resoluciones contrarias, de forma que, en la primera, no se imputa conducta infractora
alguna respecto del nombramiento del Delegado de Protección de Datos en la figura
del ***PUESTO.1 del Colegio y, sin embargo, en la segunda, con dicho nombramiento
se imputa al COAGranada una infracción del art. 38.6 del RGPD.
Por último, manifiesta que, el Colegio Oficial de Arquitectos de Granada adoptó la
decisión de nombrar a un nuevo Delegado de Protección de Datos en fecha 26 de abril
de 2022, anticipándose a la medida correctiva propuesta y solicitan que se tenga en
cuenta esta decisión al amparo del art. 83.2.c) del RGPD.
2.- sobre la falta de información en los formularios sobre ?quejas y reclamaciones?.
Respecto a la sanción referida por la vulneración del art. 13 RGPD, manifiestan que se
ha incorporado toda la información referida en el art. 13 del RGPD a los formularios a
disposición tanto de Colegiados como de la ciudadanía en general, por lo que solicitan
que se tenga en cuenta esta medida al amparo del art. 83.2.c) del RGPD.
3.- sobre la política de cookies
Manifiesta que, el incumplimiento se debe al uso de una cookie de terceros por el uso
de un mapa interactivo y solicitan que para el establecimiento de la cuantía de la
sanción se tenga en cuenta la ausencia absoluta de culpabilidad o de la antijuridicidad
del hecho como consecuencia de la concurrencia significativa de varios de los criterios
enunciados en el artículo 40, tomando como base los siguientes criterios:
-Intencionalidad: El COAGranada puso a disposición de sus Colegiados el mapa
interactivo para facilitar el cumplimiento de las disposiciones contenidas en el Real
Decreto 732/2019, de 20 de diciembre, por el que se modificó el Código Técnico de la
Edificación aprobado por RD 314/2006, de 17 de marzo, proporcionando información
sobre los conceptos básicos relacionados con la modificación reglamentaria, sin ánimo
de recabar información alguna.
-Plazo de tiempo durante el que se ha cometido la eventual infracción. El mapa ya ha
sido retirado de la web y estuvo a disposición del público durante el periodo
establecido entre el 10 de febrero 2022 y 20 de septiembre 2022, día éste en que fue
retirado.
-La reincidencia por comisión de infracciones de la misma naturaleza: Este Colegio no
ha sido condenado con anterioridad por ninguna infracción similar.
4.- Sobre indebida o errónea interpretación del artículo 77.2 de la LOPDGDD
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/60
En este punto se reitera la aplicación del art 77.2 de la LOPDGDD en los mismos
términos que ya expusieron en su escrito de fecha 1/04/22.
En lo atinente al referido artículo 77 de la LOPDGDD alegan que la AEPD distingue las
funciones públicas y ?privadas? que ejercen u ostentan los Colegios Profesionales pero
manifiestan que estas entidades asociativas de profesionales son Corporaciones de
Derecho Público y se considera que no procede imputar solamente como ?funciones
privadas? las que son objeto de las presuntas conductas infractoras que se imputan y
?desvincularlas? sin motivo ni justificación alguna de las funciones públicas, en las que
también pueden incardinarse totalmente.
A continuación se reproduce los preceptos estatutarios invocados que implican el
ejercicio de funciones públicas, que son perfectamente extensibles a las conductas
imputadas; y éstas se pueden perfectamente imbricar con tales funciones púbicas
como son el artículo 13. 2. Corresponderá a la Junta de Gobierno, en concreto;
artículo 15. La Comisión Permanente y artículo 17. El ***PUESTO.1. ?Corresponde al
***PUESTO.1:
Se manifiesta también que la Agencia Española de Protección de Datos, en sus
Resoluciones de 24 mayo 2021, Procedimiento Nº: PS/00416/2020 y de 11 mayo
2021, Procedimiento Nº: PS/00347/2020, ha adoptado diferente criterio al seguido en
el presente Expediente Sancionador ante Corporaciones de Derecho Público.
OCTAVO: Con fecha 10/04/23, por parte de esta Agencia se accede nuevamente a la
página web https://www.coagranada.es/ teniendo conocimiento de las siguientes
características respecto a su ?Política de Cookies?:
Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de
navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre
la página web, se ha comprobado que se utiliza una única cookie ?_GRECAPTCHA?,
cuya finalidad es proporcionar su análisis de riesgo, como por ejemplo, detectar
intentos erróneos y reiterados de conexión.
NOVENO: Con fecha 10/04/23, por parte de esta Agencia se accede a la hoja de
quejas y reclamaciones del Colegio de Arquitectos de Granadas, accesibles a través
del enlace https://coagranada.es/quejas-y-reclamaciones/ comprobando que en la
misma se puede leer el siguiente mensaje:
Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº3, 18001
Granada. Secretaría General. Área de Atención al Colegiado y al Usuario.
En cumplimiento de los dispuesto en el Reglamento UE 2016/679, de 27 de
abril de 2016, en adelante RGPD, el Colegio Oficial de Arquitectos de Granada
con domicilio en PLAZA DE SAN AGUSTÍN 3, 18001 GRANADA y NIF nº
Q1875003D le informa que la recogida y tratamiento de sus datos a través del
presente formulario tiene como finalidad la gestión administrativa, fiscal y
contable prevista en la legislación de colegios profesionales y nuestros
estatutos. Sus datos podrán ser comunicados al Consejo General de Colegios
Oficiales de Arquitectos, organismos afines y a la Administración Pública sin
perjuicio de otras cesiones previstas legalmente. Sus datos serán conservados
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/60
durante el tiempo necesario para cumplir con las obligaciones legales. En
cualquier momento podrá consultar la información adicional de este tratamiento
o ejercitar los derechos de acceso, rectificación, supresión y oposición,
portabilidad y limitación del tratamiento dirigiendo su solicitud al domicilio arriba
indicado o por email a protecciondedatos@coagranada.org. Asimismo, en caso
de considerar vulnerado su derecho a la protección de datos personales, podrá
interponer una reclamación ante la Agencia Española de Protección de Datos
(www.agpd.es).
DÉCIMO: Con fecha 10/04/23 se formuló propuesta de resolución en el sentido de que
se sancione a la parte reclamada por la infracción del artículo 38.6 del RGPD, por el
conflicto de intereses detectado en el nombramiento del ***PUESTO.1 del Colegio
como Delegado de Protección de datos, con una sanción de 5.000 euros (cinco mil
euros); por la infracción del artículo 13 del RGPD, por la falta de información
suministrada en las hojas de reclamaciones, sobre el tratamiento de los datos
personales obtenidos, con una sanción de 8.000 euros (ocho mil euros) y por la
infracción del artículo 22.2 de la LSSI, respecto a la utilización de cookies de terceros
de carácter no exceptuado, sin el consentimiento del usuario, con una sanción de
1.000 euros (mil euros).
Asimismo, se propuso que se requiera a la parte reclamada para que, en el plazo que
se determine, adopte las medidas necesarias para adecuar su actuación a la
normativa de protección de datos personales.
DÉCIMO PRIMERO: Con fecha 28/04/23, se recibe en esta Agencia escrito de
alegaciones a la propuesta de resolución, en el que la parte reclamada se reitera y
ratifica en sus alegaciones anteriores y solicita nuevamente el archivo del
procedimiento. En este escrito, la parte reclamada pone de manifiesto lo siguiente:
PRIMERA.- RESPECTO DEL ?CONFLICTO DE INTERESES? DEL
***PUESTO.1 DE ESTE COLEGIO COMO DELEGADO DE PROTECCIÓN DE
DATOS, LA PROPUESTA DE RESOLUCIÓN RESULTA INCONGRUENTE Y
SIGUE SI DESVIRTUAR LOS PRINCIPIOS DE TIPICIDAD Y LEGALIDAD,
PROPIOS DEL PROCEDEDIMIENTO SANCIONADOR, QUE OPERAN EN
FAVOR DEL COAGRANADA Y EN CONTRA DE ESA AGENCIA.-
La Propuesta de Resolución, en realidad, no rebate las alegaciones formuladas
por este Colegio, especialmente, en cuanto a la vulneración de los principios
de tipicidad y legalidad. Es más, sin abordar y tratar dichos principios
invocados en nuestro escrito de alegaciones, considera, sin fundamento ni
elemento probatorio alguno-Cfr. Último párrafo del FD II a) que ?es evidente la
existencia de un conflicto de intereses por parte de ***PUESTO.1 del Colegio
Oficial de Arquitectos de Granada para actuar como DPD de dicho organismo?.
En este punto es preciso recordar que esa Agencia sigue basándose en unas
?Directrices? o ?prácticas recomendables del Grupo de Trabajo sobre
Protección de Datos?. Resulta evidente que cualquier infracción administrativa
debe tomar como fundamento inexcusable un elemento normativo (legal, o
reglamentario) que, en el presente caso, no existe, puesto que resulta en todo
punto improcedente tomar como título de imputación unas directrices o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/60
recomendaciones, dado que ello implica una vulneración de los principios de
tipicidad y de legalidad. Incluso en el artículo 29 de las ?Directrices sobre los
delegados de protección de datos (DPD)? de dicho Grupo de Trabajo, se llegar
a poner un ?ejemplo? (que ?se pida a un DPD que represente al responsable o
al encargado del tratamiento antes los tribunales en casos relacionados con la
protección de datos?).
El solo hecho de mencionar un ejemplo en un procedimiento sancionador ya
implica per se, el prescindir del esencial elemento fáctico que ha de desvirtuar
el principio de presunción de inocencia y, asimismo, incluso aplicando tan
inverosímil ejemplo, tampoco concurren circunstancias similares en el presente
Procedimiento sancionador. Por otra parte, las consideraciones del referido
?Grupo de Trabajo? respecto del ?conflicto de intereses del DPD son
extremadamente genéricas y, en modo alguno pueden tampoco servir de base
para enervar la referida presunción de inocencia.
Es más, incluso, aplicando tales ?Criterios? -lo que se rechaza tampoco
resultaría la existencia de un ?conflicto de intereses? por nombrar al
***PUESTO.1 del Colegio, con la asistencia y apoyo de la Asesoría Jurídica del
COAGranada, como DPD. Los propios ?Criterios? establecen que la
determinación o ponderación de la existencia de un ?conflicto de intereses? en
la figura del DPD ha de ?considerarse caso por caso?, lo cual no se ha hecho
por esa AEPD.
En este sentido, cabe citar la Sentencia del Tribunal de Justicia de la Unión
Europea (Sala Sexta) de 9 de febrero de 2023, Asunto C-453/21: ?Cuarta
cuestión prejudicial 43 En tercer lugar, por lo que respecta al contexto en el
que se inscribe el artículo 38, apartado 6, del RGPD, ha de señalarse que,
según el artículo 39, apartado 1, letra b), del RGPD, el delegado de protección
de datos tiene por función, en particular, supervisar el cumplimiento de lo
dispuesto en el RGPD, de otras disposiciones de protección de datos de la
Unión o de los Estados miembros y de las políticas del responsable o del
encargado del tratamiento en materia de protección de datos personales,
incluidas la asignación de responsabilidades, la concienciación y formación del
personal que participa en las operaciones de tratamiento, y las auditorías
correspondientes.
De ello se deduce, que no se pueden encomendar a un delegado de protección
de dato sus funciones o cometidos que le lleven a determinar los fines y los
medios del tratamiento de datos personales del responsable del tratamiento o
de su encargado. En efecto, conforme al Derecho de la Unión o al Derecho de
los Estados miembros en materia de protección de datos, el control de esos
fines y medios debe ser efectuado de manera independiente por dicho
delegado.
La determinación de la existencia de un conflicto de intereses, en el sentido del
art 38 apartado 6 del RGPD, debe efectuarse caso por caso, sobre la base de
una apreciación del conjunto de las circunstancias pertinentes, en particular, de
la estructura organizativa del responsable o de su encargado y a la luz de toda
la normativa aplicable, incluidas las eventuales políticas de estos últimos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/60
Habida cuenta de todas las consideraciones anteriores, procede responder a la
cuarta cuestión prejudicial que el artículo 38, apartado 6, del RGPD debe
interpretarse en el sentido de que puede existir un «conflicto de intereses», en
el sentido de esta disposición, cuando se encomienden a un delegado de
protección de datos otras funciones o cometidos que llevarían a este a
determinar los fines y los medios del tratamiento de datos personales en el
seno del responsable del tratamiento o de su encargado, lo que incumbe
determinar en cada caso al juez nacional sobre la base de todas las
circunstancias pertinentes, en particular de la estructura organizativa del
responsable del tratamiento o de su encargado y a la luz de toda la normativa
aplicable, incluidas las eventuales políticas de estos últimos.
En virtud de todo lo expuesto, el TJ (Sala Sexta) declara: (?) 2) El artículo 38,
apartado 6, del Reglamento 2016/679 debe interpretarse en el sentido de que
puede existir un «conflicto de intereses», en el sentido de esta disposición,
cuando se encomienden a un delegado de protección de datos otras funciones
o cometidos que llevarían a este a determinar los fines y los medios del
tratamiento de datos personales en el seno del responsable del tratamiento o
de su encargado, lo que incumbe determinar en cada caso al juez nacional
sobre la base de todas las circunstancias pertinentes, en particular dela
estructura organizativa del responsable del tratamiento o de su encargado y a
la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos
últimos.
En este punto confunde esa Agencia el propio concepto de ?conflicto de
intereses? cuando parece equiparar el cargo de ***PUESTO.1 del Colegio a
?los puestos de dirección?, dado que, como resulta de la aplicación del art 17
de los Estatutos Particulares del COAGranada, resulta evidente que el
***PUESTO.1 no ostenta en modo alguno tales funciones de alta dirección,
concepto éste, además, aplicable a otro tipo de entidades, no al COAGranada.
A estas consideraciones, como no puede ser de otra forma, no se ofrece por
esa AEPD respuesta o fundamentación fáctica ni jurídica que la desvirtúe.
Y ello resulta especialmente relevante, dado que la expresión ?conflicto de
intereses? implica la aplicación de un concepto jurídico indeterminado que, en
un procedimiento sancionador, en tanto que restrictivo de derechos, ha de
aplicarse con extrema cautela y con un contundente acervo fáctico, probatorio
y jurídico-normativo que lo sustente, todo lo cual no ha acontecido en el
presente caso.
Y es que ?el conflicto de intereses? ha de probarse por esa Agencia y no
presumirse, que es lo que ha acontecido en el presente Procedimiento
Sancionador. No cabe presumir, como se ha dicho, tal ?conflicto de intereses?
tomando solamente como base los Estatutos del COAGranada, en lo referente
a la composición y funciones de la Junta de Gobierno, de la Comisión
Permanente y de las funciones del ***PUESTO.1 del COAGranada, puesto
que, de los preceptos estatutarios que se invocan por esa AEPD (14.1, 13.2,
15 y 17) no se infiere existencia alguna de ?conflicto de intereses? por parte del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/60
***PUESTO.1 del COAGranada respecto de la tutela de los intereses de los
Colegiados y de terceros en materia de protección de datos.
Es decir, de los preceptos estatutarios que regulan las funciones de la Junta de
Gobierno (Art. 13.2), su composición (Artículo 14.1), la Comisión Permanente
de la Junta de Gobierno (artículo 15) y, especialmente las competencias del
***PUESTO.1 (artículo 17) en modo alguno se puede inferir el desempeño de
funciones que impliquen un ?conflicto de intereses? con la figura del DPD.
El COAGranada procedió al nombramiento del DPD en la figura de su
***PUESTO.1 garantizando así la participación del DPD en todas las
cuestiones relativas a la protección de datos personales y, para su apoyo y
asesoramiento le dotó del concurso y asistencia de la Asesoría Jurídica del
COAGranada.
2.- Como se ha dicho, la potestad sancionadora de la Administración Pública
enlaza directamente con los principios que inspiran el Derecho penal, dado que
ambas potestades son expresión del Ordenamiento Jurídico del Estado, tal y
como expresa el propio Texto Constitucional (art. 25) y reconoce la
jurisprudencia del Tribunal Constitucional desde la STC 18/1 981, de 8 junio y
una muy reiterada doctrina jurisprudencial del TS (STS 29 septiembre de 1980
y S TS 4 de noviembre de 1980 y STS 10 de noviembre de 1980, entre otras).
La potestad sancionadora de la Administración tiene su fundamento
constitucional en el artículo 25 de la CE. Es doctrina reiterada del Tribunal
Constitucional (STC 77/83, de 3 de octubre, STS 42/87, de 7 de abril; STC
29/1989, de 6 de febrero) que el ordenamiento sancionador administrativo
comprende una doble garantía: la primera, de orden material, supone la
necesidad de predeterminación normativa de las conductas ilícitas y sanciones
correspondientes, mediante preceptos jurídicos que permitan predecir, con
suficiente grado de certeza, las conductas que constituyen una infracción y las
penas o sanciones aplicables.
Aparece derivada del mandato de taxatividad o de "lex certa" y se concreta en
la exigencia de predeterminación normativa de las conductas ilícitas y de las
sanciones correspondientes, que hace recaer sobre el legislador el deber de
configurarlas en las leyes sancionadoras con la mayor precisión posible
(principio de tipicidad) para que los ciudadanos puedan conocer de antemano
el ámbito de lo proscrito y prever, así, las consecuencias de sus acciones.
(STC 242/2005, de 10 de octubre y STC 162/2008, de 15 de diciembre). La
segunda, de carácter formal, hace referencia al rango de las normas
tipificadoras de las infracciones y reguladora de las sanciones, por cuanto que
el término "legislación vigente" contenido en el art. 25.1 CE es expresivo de
una reserva de Ley.
Por tanto, la garantía formal implica que la ley debe contener la determinación
de los elementos esenciales. Pues bien, la garantía material, viene a constituir
propiamente el referido principio de tipicidad, que "supone la imperiosa
necesidad de predeterminación normativa de las conductas infractoras y de las
sanciones correspondientes, es decir, la existencia de preceptos jurídicos (lex
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/60
previa) que permitan predecir con suficiente grado de certeza (lex certa)
aquellas conductas y se sepa a qué atenerse en cuanto a la responsabilidad y
a la eventual sanción" (Cfr. STC 61/1990, de 29 de marzo y STC 24/1996 de
13 febrero; STS 20 abril 2006; STS 18 noviembre 2000; STS 20 diciembre
1999; SAN de 2 diciembre 201 1; STS n o 74/2017, Sala de lo Contencioso
Administrativo, de 23 de enero). Por su parte, el artículo 27 de la Ley 40/2015
de 1 de octubre, de LRJSP-, recoge el llamado principio de tipicidad, según el
cual sólo constituyen infracciones administrativas las vulneraciones del
ordenamiento jurídico previstas como tales infracciones por una Ley.
El principio de tipicidad, relacionado con el de legalidad, exige que el hecho
que presuntamente presenta carácter ilícito se encuentre expresamente
previsto como infracción en algún precepto del ordenamiento jurídico
administrativo. Para que una conducta pueda ser calificada como típica, y por
ende, antijurídica y punible, se precisa que exista coincidencia entre la acción
realizada por el actor y la conducta expuesta en el precepto legal aplicable.
Mediante la aplicación del principio de tipicidad se pretende comprobar si un
suceso ocurrido en la realidad reúne todas las características descritas en la
ley como presupuestos de la infracción de una norma de carácter sancionador.
Para ello es necesario que la acción se subsuma en un precepto sancionador,
entendiendo por tal aquella parte del ilícito que describe todos los elementos
subjetivos y objetivos que, en su conjunto, dan lugar a la infracción de la
norma. Según la Sentencia núm. 4672/2022 de 23 de diciembre, del Tribunal
Superior de Justicia de Cataluña, (Sala de lo Contencioso-Administrativo,
Sección4ª)-JUR 2023\48531-: ?Exigencias del principio de tipicidad en materia
sancionadora administrativa que, como es bien sabido, pese al notable
laconismo y atendido el contenido implícito del precitado artículo 25 de la
Constitución ( sentencia del Tribunal Constitucional 34/1996, de 11 de marzo
(RTC 1996, 34) ), ha sido ya destacado desde antiguo por la jurisprudencia
constitucional en relación con lo que se ha venido denominando la garantía
material del principio de legalidad (entre muchas otras, desde la sentencia del
Tribunal Constitucional 42/1987, de 7 de abril (RTC 1987, 42) , por las
sentencias del Tribunal Constitucional 3, 11, 12, 100 y 101/1988, de 8 de junio
(RTC 1988, 101) , 161, 200 y 219/1989, de 21 de diciembre (RTC 1989, 219) ,
61/1990, de 29 de marzo (RTC 1990, 61), 207/1990, de 17 de diciembre (RTC
1990, 207) , 120 y 212/1996, 133/1999, de 14 de julio, 142/1999, de 22 de julio
(RTC 1999, 142) , y 60 y 276/2000, de 16 de noviembre (RTC 2000, 276) ),
que se viene a identificar con el tradicional principio de tipicidad de faltas y
sanciones administrativas (sentencias del Tribunal Supremo, Sala Tercera, de
fechas 16 de enero y 8 de junio de 1992, 5 de febrero y 2 de octubre de 2002)
y que exige siempre la necesaria predeterminación normativa cierta de las
concretas conductas que por acción u omisión se estimen constitutivas de un
ilícito administrativo, con prohibición de eventuales interpretaciones analógicas
al efecto o extensivas in malam partem (sentencia del Tribunal Constitucional
125/2001, de 4 de junio (RTC 2001, 125), con cita de sus sentencias anteriores
81/1995, de 5 de junio (RTC 1995, 81), 34/1996, de 11 de marzo, (RTC 1996,
34) 64/2001, de 17 de marzo (RTC 2001, 64) , y auto del Tribunal
Constitucional 3/1993, de 14 de enero, y 72/1993, de 1 de marzo; así como
sentencia del Tribunal Supremo, Sala Tercera, de 30 de mayo de 1981, de 4
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/60
de junio de 1983, de 29 de diciembre de 1987, de 20 de octubre de 1998, de
22 de febrero de 2000 y de 3 de marzo de 2003). O dicho sea ello en palabras
del propio Tribunal Constitucional, entre otras muchas anteriores y posteriores
en su sentencia 113/2002, de 9 de mayo (RTC 2002, 113) , en los siguientes
términos: " (...) En concreto, en relación con la garantía material a que se
encuentra sujeta la potestad sancionadora de la Administración, hemos
precisado que la predeterminación normativa supone la existencia de
preceptos jurídicos (lex previa) que permitan predecir con suficiente grado de
certeza (lex certa) las conductas infractoras y conocer de antemano a qué
atenerse en cuanto a la aneja responsabilidad y a la eventual sanción de que
pueda hacerse merecedor el infractor (STC 219/1989, de 21 de diciembre, FJ
4; 61/1990, de 29 de marzo, FJ 7; y 133/1999, de 15 de julio, FJ 2) ".
Siendo asimismo doctrina jurisprudencial ya bien consolidada la que enseña
que en el ejercicio de su potestad administrativa sancionadora la
administración sancionadora actuante no responde, propiamente, al ejercicio
de una potestad administrativa de esencia o de tendencia discrecional sino
predominantemente reglada para la aplicación a cada caso concreto del marco
normativo sancionador preestablecido con carácter general en el ordenamiento
jurídico sancionador aplicable, lo que comporta, ya de entrada, la exigencia de
la necesaria adecuación y rigor en la calificación de los hechos imputados y en
su incardinación puntual y adecuada subsunción en el tipo infractor legalmente
definido para su corrección, de tal forma que lo contrario, ciertamente,
resultaría determinante de violación del derecho fundamental subjetivo ya
apuntado y a todos reconocido por el vigente texto constitucional ex artículo
25.1 de la Constitución (sentencias del Tribunal Constitucional 77/1983, de 3
de octubre (RTC 1983, 77) ,199 7 y 3/1988, de 21 de enero (RTC 1988, 3) ),
que por ser susceptible de amparo constitucional haría incurrir a una eventual
actuación administrativa sancionadora infractora del mismo en el vicio de
nulidad de pleno derecho hoy previsto por el artículo 47.1. a) de la Ley 39/2015
".
3.- Por último, en relación al incumplimiento relacionado con el nombramiento
del DPD, se ha de dejar constancia de que, con anterioridad a la recepción de
la Resolución PS/00345/2022, tal y como conoce y le consta a esa Agencia, el
COAGranada adoptó la decisión de nombrar a un nuevo Delegado de
Protección de Datos en fecha 26 de abril de 2022, con recibí electrónico nº
REGAGE22e00014921519, atendiendo a las exigencias del art. 38 del RGPD.
Este Colegio se ha anticipado a la medida correctiva propuesta y solicitamos
que se tenga en cuenta esta decisión al amparo del art. 83.2.c) del RGPD, que
establece lo siguiente: ?[?] Al decidir la imposición de una multa administrativa
y su cuantía en cada caso individual se tendrá debidamente en cuenta: c)
cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados.? En este punto
invocamos también la aplicación de proporcionalidad del art 29.3 LRJSP.
SEGUNDA.- SOBRE LA FALTA DE INFORMACIÓN EN LOS FORMULARIOS
SOBRE ?QUEJAS Y RECLAMACIONES?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/60
Respecto a la sanción referida por la vulneración del art. 13 RGPD, se reitera
lo expuesto en la Alegación Primera, en el sentido de que no se da respuesta y
se aborda lo alegado por el COAGranada en su escrito de alegaciones. Tal y
como se expuesto en éste, se aplicó en cuanto se conoció de este hecho, la
medida correctiva propuesta habiéndose incorporado toda la información
referida en el artículo 13 del RGPD a los formularios a disposición tanto de
Colegiados como de la ciudadanía en general, por lo que solicitamos que se
tenga en cuenta esta medida al amparo del art. 83.2.c) del RGPD.
En este punto, relacionado con lo expuesto en la Alegación Primera, la falta de
concurrencia de un elemento esencial implica que el sujeto activo no ha
cometido la conducta descrita en el tipo presuntamente vulnerado por su
acción, por lo cual, resulta perfectamente lícita. Es decir, la atipicidad
determina la ausencia de responsabilidad para el sujeto responsable y, por
ende, la imposibilidad de desplegar los efectos del ius puniendi sobre el sujeto.
Es más, para que la acción sea considerada como típica, y por ende,
despliegue efectos jurídicos, es preciso que junto a los elementos objetivos de
tipicidad concurran los llamados elementos subjetivos de tipicidad. En base al
principio de tipicidad subjetiva se requiere que, para proceder a imputar y
sancionar por una acción, se confirme el carácter voluntario del sujeto activo.
En este sentido, la jurisprudencia viene exigiendo de forma reiterada la
existencia de la culpabilidad para poder imponer una sanción administrativa,
hasta el punto de que hoy en día se configura como uno de los pilares sobre el
que se asienta el derecho administrativo sancionador, descartándose toda
sanción al margen de una conducta culposa o negligente y, por lo tanto,
desechando lo que tradicionalmente se ha denominado responsabilidad
objetiva.
En concreto, sobre la culpa, el Tribunal Constitucional ha declarado que, en
efecto, la Constitución española consagra sin duda el principio de culpabilidad
como principio estructural básico del Derecho Penal y ha añadido que, sin
embargo, la consagración constitucional de este principio no implica en modo
alguno que la Constitución haya convertido en norma un determinado modo de
entenderlo (Cfr. STC 150/1991).
Este principio de culpabilidad rige en materia de infracciones administrativas,
pues en la medida en que la sanción de dicha infracción es una de las
manifestaciones del ius puniendi del Estado resulta inadmisible en nuestro
ordenamiento un régimen de responsabilidad objetiva o sin culpa (Cfr. STC
76/1990). Esta misma sentencia exige la culpa en el caso de las infracciones
administrativas cometidas por personas jurídicas, afirmando que "...Incluso
este TC ha calificado de «correcto» el principio de le responsabilidad personal
por hechos propios principio de la personalidad de la pena o sanción (STC
219/1988).
Todo ello, sin embargo, no impide que nuestro Derecho Administrativo admita
la responsabilidad directa de las personas jurídicas, reconociéndoles, pues,
capacidad infractora. Esto no significa, en absoluto, que para el caso de las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/60
infracciones administrativas cometidas por personas jurídicas se haya
suprimido el elemento subjetivo de la culpa.
La propia Ley 40/2015, de Régimen Jurídico del Sector Público, dispone en su
artículo 28 que "sólo podrán ser sancionadas por hechos constitutivos de
infracción administrativa las personas físicas y jurídicas, así como, cuando una
Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y
entidades sin personalidad jurídica y los patrimonios independientes o
autónomos, que resulten responsables de los mismos a título de dolo o culpa".
La jurisprudencia mayoritaria de nuestro Tribunal Supremo (a partir de sus
sentencias de 24 y 25 de enero y 9 de mayo de 1983) y la doctrina del Tribunal
Constitucional (después de su STC 76/1990) destacan que el principio de
culpabilidad, aún sin reconocimiento explícito en la Constitución, se infiere de
los principios de legalidad y prohibición de exceso (art. 25.1 CE), o de las
exigencias inherentes a un Estado de Derecho, y requieren la existencia de
dolo o culpa.
La exigencia de culpabilidad en el derecho administrativo sancionador ha
impregnado la jurisprudencia del Tribunal Supremo en los distintos ámbitos
materiales en los que ha tenido ocasión de pronunciarse, descartado por
exigencia legal y constitucional, la responsabilidad objetiva, esto es, al margen
de toda actuación culposa. De esta forma, el principio de culpabilidad
constituye un elemento esencial del ilícito administrativo.
TERCERA.- SOBRE LA POLÍTICA DE COOKIES
En relación a la propuesta de sanción ?Sobre la Política de Cookies?, tal y
como reconoce la propia Propuesta de Resolución, al entrar en la web por
primera vez, sin aceptar cookies ni realizar ninguna acción sobre la página, se
puede comprobar que no se utilizan cookies que no sean técnicas o
necesarias.
El incumplimiento detectado se debe al uso de una cookie de terceros por el
uso de un mapa interactivo. En base al art. 39 bis a) de la Ley 34/2002, de 11
de julio, de Servicios de Sociedad de la Información y Comercio electrónico,
solicitamos que el establecimiento de para el establecimiento de la cuantía de
la sanción tenga en cuenta una la ausencia absoluta de la culpabilidad del
imputado o de la antijuridicidad del hecho como consecuencia de la
concurrencia significativa de varios de los criterios enunciados en el artículo 40,
tomando como base los siguientes criterios: -Intencionalidad: El COAGranada
puso a disposición de sus Colegiados el mapa interactivo para facilitar el
cumplimiento de las disposiciones contenidas en el Real Decreto 732/2019, de
20 de diciembre, por el que se modificó el Código Técnico de la Edificación
aprobado por Real Decreto 314/2006, de 17 de marzo, proporcionando
información sobre los conceptos básicos relacionados con la modificación
reglamentaria, sin ánimo de recabar información alguna.
Plazo de tiempo durante el que se ha cometido la eventual infracción. El mapa
ya ha sido retirado de la web y estuvo a disposición del público durante el
periodo establecido entre el 10 de febrero 2022 y se retiró el día 20 de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/60
septiembre 2022. -La reincidencia por comisión de infracciones de la misma
naturaleza: Este Colegio no ha sido condenado con anterioridad por ninguna
infracción similar. En este punto se invoca, al igual que en la Alegación
anterior, el principio de culpabilidad y, además, el de proporcionalidad.
CUARTA.- ENTENDEMOS QUE LA PROPUESTA DE RESOLUCIÓN
REITERA LA INDEBIDA O ERRÓNEA INTERPRETACIÓN DEL ARTÍCULO
77.2 DE LA LEY ORGÁNICA 3/2018 DE 5 DE DICIEMBRE, DE PROTECCIÓN
DE DATOS DE CARÁCTER PERSONAL Y GARANTÍA DE LOS DERECHOS
DIGITALESLOPDGDD-.
Invocamos la aplicación del art 77.2 de la LOPDGDD en los mismos términos
que ya expusimos en nuestro escrito de fecha 1 de abril de 2022. Y es que,
aquí también es preciso recordar que nos encontramos en el seno de un
procedimiento sancionador, en el que se aplican, como principios inspiradores
del orden penal, el de presunción de inocencia y el de in dubio pro reo.
En lo atinente al referido artículo 77 de la LOPDGDD esa Agencia distingue las
funciones públicas y ?privadas? que ejercen u ostentan los Colegios
Profesionales. Pero es que, además de ser éstos entidades asociativas de
profesionales, de base privada, lo fundamental a los efectos que aquí nos
ocupan, es que son Corporaciones de Derecho Público. Y, en este punto,
consideramos que no procede imputar solamente como ?funciones privadas?
las que son objeto de las presuntas conductas infractoras que se imputan y
?desvincularlas? sin motivo ni justificación alguna de las funciones públicas, en
las que también pueden incardinarse totalmente.
Lo que resulta en todo punto improcedente es pretender justificar espuriamente
el ejercicio de ?funciones privadas? imbricándolo con una norma que no resulta
en modo de aplicación, como es la Ley 7/2006, de 31 de mayo, del ejercicio de
profesiones tituladas y de los colegios profesionales de la Comunidad
Autónoma de Cataluña.
Dicha Ley no resulta aplicable ni por razón de la materia, ni del territorio y,
menos aún en el seno de un procedimiento sancionador, lo que nos conduce
nuevamente a la vulneración de los principios de tipicidad y legalidad, sin que
se pueda ?presumir?, sin elemento probatorio alguno ni fundamentación fáctica
y jurídica, el ejercicio de funciones privadas errando en el marco normativo de
aplicación y suponiendo que las presuntas infracciones lo han sido en el
ejercicio de tales funciones.
Si tomamos en consideración los preceptos estatutarios que esa AEPD invoca
respecto del presunto ?conflicto de intereses? del ***PUESTO.1 del
COAGranada, los propios preceptos estatutarios invocados por esa AEPD
implican el ejercicio de funciones públicas, que son perfectamente extensibles
a las conductas imputadas; y éstas se pueden perfectamente imbricar como
funciones púbicas
-Artículo 13. 2. Corresponderá a la Junta de Gobierno, en concreto: ?a)
Elaborar proyectos de normas de carácter general y el impulso del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/60
procedimiento de aprobación y reforma de los estatutos. b) Proponer a la
Asamblea General los asuntos que le competan, prestarle asesoramiento y
apoyo técnico y arbitrar los medios conducentes al exacto cumplimiento de lo
acordado por la misma. c) Resolver las solicitudes de incorporación de nuevos
colegiados, de bajas colegiales y sobre la suspensión de servicios colegiales y
de la condición de colegial. d) Autorizar la inscripción de las Sociedades
Profesionales en el correspondiente Registro colegial, previa solicitud, que
podrá cursarse telemáticamente a través de la ventanilla única establecida en
este Colegio e) Recaudar, distribuir y administrar los fondos del Colegio,
conforme a lo previsto en el Título sobre Régimen Económico y Patrimonial de
los presentes Estatutos Particulares. h) Promover actuaciones de todo tipo a
favor de la profesión. i) Conocer las actuaciones llevadas a cabo en razón de
urgencia por el Decano o por la Comisión Permanente, asumiéndolas o
censurándolas cuando no fueran de la competencia propia de los mismos. j)
Resolver cuantas propuestas le pueda plantear la Comisión Permanente k)
Ejercer la función disciplinaria y adoptar medidas cautelares, incoando, de
oficio o en virtud de denuncia, los expedientes disciplinarios, en los que dictará
la correspondiente Resolución. El ejercicio de tales funciones lo podrá delegar
en el Decano, en un grupo de miembros de Junta de Gobierno o en una
Comisión. l) Remitir a la Comisión Instructora los Expedientes incoados en
materia disciplinaria, a efectos de su tramitación y formulación de la
correspondiente propuesta de resolución. m) Aprobar inicialmente el
reglamento de funcionamiento de la asistencia y del voto telemático en la
Asamblea General, a fin de que sea aprobado definitivamente por la Asamblea
General de los Colegiados.?
-Artículo 15. La Comisión Permanente. ?La Junta de Gobierno se constituirá en
Comisión Permanente, integrada por el Decano, el ***PUESTO.1 y el Tesorero
como miembros natos, para el cumplimiento de las funciones que se le asignan
en estos Estatutos. Corresponde a la Comisión Permanente de la Junta de
Gobierno del Colegio: 1. Poner en práctica las directrices emanadas de la
Junta de Gobierno. 2. Proponer a la Junta de Gobierno cuantos actos sean
consecuencia de las competencias que ésta tiene asumidas. 3. La adopción de
las medidas necesarias para el cumplimiento de los acuerdos de la Junta de
Gobierno. 5. Adoptar decisiones sobre aquellos asuntos de carácter urgente
que, siendo competencia de la Junta de Gobierno, no puedan sufrir
aplazamiento hasta la reunión de ésta, debiéndose dar cuenta de estos actos,
para su ratificación, en la primera sesión que celebre la Junta de Gobierno. 6.
Aquellas funciones que, expresamente, le delegue la Junta de Gobierno.?.
-Artículo 17. El ***PUESTO.1. ?Corresponde al ***PUESTO.1: 1. Organizar, con
el visto bueno del Decano y atendiendo a los criterios de la Junta de Gobierno,
la Secretaría del Colegio. 2. Resolver provisionalmente acerca de la admisión
de los nuevos colegiados de conformidad con lo dispuesto en estos Estatutos
Particulares. 3. Recibir y tramitar todas las solicitudes y comunicaciones que se
dirijan al Colegio y a sus diferentes Órganos, dando cuenta de ellas a quien
corresponda. 4. Librar las certificaciones que se soliciten y deban ser
expedidas y llevar el libro registro de colegiados. 6. Hacer las notificaciones de
altas y bajas colegiales. 7. Llevar los libros de actas de las reuniones de la
Asamblea General de colegiados, Junta de Gobierno y de la Comisión
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/60
Permanente y trasladar los acuerdos, llevando el seguimiento del cumplimiento
de los mismos.?. 10. Dirigir los servicios de las oficinas del Colegio.?.
Y, como complemento de los anteriores preceptos estatutarios en el artículo 6
se enumeran las funciones del COAGranada, plenamente de Derecho Público -
Artículo 6. Funciones. ?Sin perjuicio de las reservadas al Consejo Superior de
los Colegios de Arquitectos de España y al Consejo Andaluz de Colegios
Oficiales de Arquitectos, son funciones del Colegio Oficial de Arquitectos de
Granada, en su ámbito territorial, las expresamente determinadas, para la
consecución de sus fines, en la legislación sobre Colegios Profesionales y,
específicamente, las siguientes: 1. De registro: e) Facilitar a los órganos
jurisdiccionales y de las Administraciones Públicas, conforme a las leyes, la
relación de colegiados que pudieran ser requeridos para intervenir como
peritos o designarlos directamente, según proceda. f) Dotarse de los sistemas
adecuados de comunicaciones electrónicas y programas informáticos que
permitan a los ciudadanos, a los Colegiados y a otros Arquitectos ejercientes
en su territorio, a las Administraciones Públicas y a los organismos declarados
competentes, resolver sus relaciones administrativas con los mismos en
régimen de ventanilla única, sin perjuicio de poderlo hacer también por otras
vías. g) Establecer y mantener un servicio telemático y presencial de atención
a consumidores y usuarios y a Colegiados y otros arquitectos con las funciones
que establezca la Ley y las que regulen el Consejo Superior de Colegios de
Arquitectos, el Consejo Andaluz de Colegios Oficiales de Arquitectos y este
Colegio, de acuerdo con la Ley
2. De representación y de relaciones con las Administraciones Públicas: a)
Representar a la profesión, en el ámbito territorial que le corresponde, ante los
poderes públicos de la Comunidad Autónoma Andaluza y restantes
Administraciones Públicas, defendiendo los intereses generales de la
profesión, prestando su colaboración en las materias de su competencia, para
lo que podrá celebrar convenios para la realización de actividades de interés
común, así como para la promoción de actuaciones orientadas a la defensa del
interés público y, en especial, de los usuarios de los servicios profesionales de
los colegiados, con las distintas Administraciones Públicas y con organismos
públicos o privados. Cuando la representación deba tener lugar ante órganos
con competencia fuera del ámbito del Colegio y se refiera a asuntos que
transciendan su ámbito territorial, las actuaciones se realizarán con el
conocimiento previo o por mediación del Consejo Superior o Consejo Andaluz,
según proceda. b) Previo acuerdo del Consejo de Gobierno de la Junta de
Andalucía, que deberá ser publicado en el Boletín Oficial de la Junta de
Andalucía, ejercer funciones administrativas relacionadas con la profesión,
todo ello previos el informe del Consejo Andaluz de Colegios Oficiales de
Arquitectos y la aceptación expresa del Colegio. c) Actuar ante los Jueces y
Tribunales, dentro y fuera de su ámbito territorial, tanto en nombre propio y en
defensa de los fines e intereses de la profesión y de los profesionales
miembros del Colegio o ejercientes en su ámbito territorial, como en nombre,
por cuenta y en sustitución procesal de éstos, en la defensa que ellos mismos
voluntariamente le encomienden. d) Informar en los procedimientos judiciales o
administrativos en que se discutan honorarios u otras cuestiones profesionales,
cuando sea requerido para ello. e) Informar, con arreglo a las Leyes, los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/60
proyectos de disposiciones de ámbito local que regulen o afecten directamente
a las atribuciones profesionales o a las condiciones de actividad de los
Arquitectos así como los de ámbito autonómico cuando no corresponda ello al
Consejo Andaluz. f) Cooperar al mejoramiento de la enseñanza e investigación
de la arquitectura, el urbanismo y el medio ambiente. g) Participar y
representar a la profesión en congresos, jurados y órganos consultivos a
petición de la Administración o de particulares. i) Ejercer el derecho de petición
conforme a la Ley. j) Atender, en su calidad de órgano competente, las
peticiones de información que le sean solicitadas, de acuerdo con lo previsto
en la legislación española o de la Unión Europea, tanto por los particulares
como por los Colegiados y otros arquitectos ejercientes o por los organismos
nacionales o internacionales habilitados por la Ley.
3. De ordenación: a) Velar por la ética y dignidad de la profesión, tanto en las
relaciones recíprocas de los Arquitectos como en las de éstos con sus clientes
o con las organizaciones en las que desarrollen su tarea profesional. b) Velar
por la independencia facultativa del Arquitecto en cualquiera de las
modalidades del ejercicio profesional. c) Evitar y perseguir ante los Tribunales
el intrusismo profesional. d) Establecer, en el ámbito de su competencia,
criterios sobre los niveles mínimos exigibles de diligencia profesional, en
particular, respecto a la presentación de trabajos y el control de calidad y
seguimiento de las obras. e) Visar de acuerdo con lo que se establezca en las
normas de aplicación reglamentarias o legales los trabajos profesionales de los
Arquitectos. El visado en ningún caso comprenderá los honorarios, ni las
demás condiciones contractuales de prestación de los servicios profesionales
convenidos por los Arquitectos con sus clientes. f) Impedir la competencia
desleal entre los Arquitectos en los términos establecidos en la legislación
vigente sobre competencia desleal. g) Ejercer la potestad disciplinaria sobre los
Arquitectos y Sociedades Profesionales que incumplan sus deberes colegiales
o profesionales, tanto legales como deontológicos, aprobando a tal fin un
Código Deontológico, de acuerdo con lo establecido en la Ley y por el Consejo
Superior de los Colegios de Arquitectos de España y el Consejo Andaluz de
Colegios Oficiales de Arquitectos. Dicho Código será accesible a los
Colegiados y a otros arquitectos ejercientes y a los consumidores y usuarios de
los servicios profesionales de éstos. i) Asesorar a los Colegiados y otros
arquitectos ejercientes así como a los consumidores y usuarios de sus
servicios profesionales sobre las condiciones de contratación de los servicios
profesionales de los Arquitectos, procurando la mejor definición y garantía de
las respectivas obligaciones y derechos. j) Establecer, en el ámbito de su
competencia, normativas sobre la actividad profesional en ejercicio de estas
funciones de ordenación, con sujeción a los Estatutos y a las demás
disposiciones generales de aplicación.
4. De servicio: e) Resolver por laudo, con arreglo a la legislación sobre arbitraje
y al propio Reglamento colegial de procedimiento, los conflictos entre
Colegiado y ciudadanos, o planteados por éstos últimos, que le sean
sometidos en materias relacionadas con la competencia profesional de los
Arquitectos. f) Establecer baremos de honorarios con carácter meramente
orientativo a los solos efectos de las tasaciones de costas en conflictos o
procedimientos jurisdiccionales. i) Prestar la colaboración que se le requiera en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/60
la organización y difusión de los concursos que afecten a los Arquitectos y
velar por la adecuación de sus convocatorias a las normas reguladoras del
ejercicio profesional. m) Ejercer cuantas competencias administrativas le sean
atribuidas legalmente, colaborar con la Administración mediante la realización
de estudios o emisión de informes y ejercer las competencias que le sean
atribuidas por otras normas de rango legal o reglamentario, o le sean
delegadas por las Administraciones Publicas o se deriven de convenios de
colaboración. n) Elaborar la carta de servicios al ciudadano, ofrecer
información sobre el contenido de la profesión y los colegiados inscritos en el
Colegio, respetando lo establecido en la normativa sobre protección de datos
de carácter personal. o) Garantizar la colaboración con la Administración de la
Junta de Andalucía y sus organismos dependientes así como con la restantes
Administraciones Públicas y entes públicos en el control de las situaciones de
los colegiados que, por su condición de empleados públicos a su servicio,
pudieran verse afectados por causa de incompatibilidad para el ejercicio de
actividades profesionales. p) Ejercer funciones arbitrales y de mediación en los
conflictos que, por motivos profesionales, se susciten entre los Colegiados,
entre los colegiados y los ciudadanos, y entre éstos cuando lo decidan
libremente, todo ello de acuerdo con la legislación aplicable en materia de
arbitraje y de mediación.
5. De organización: a) Aprobar los Estatutos Particulares y sus modificaciones
previo informe del Consejo Superior de Colegios acerca de su compatibilidad
con los Estatutos Generales de los Colegios de Arquitectos y su Consejo
Superior, sometiéndolos a informe del Consejo Andaluz de Colegios Oficiales
de Arquitectos para su posterior calificación de legalidad e inscripción en el
Registro de Colegios Profesionales de Andalucía por parte de la Consejería
competente. b) Elaborar y aprobar los presupuestos anuales de ingresos y
gastos, así como sus cuentas y liquidaciones. d) Dictar reglamentos de
organización y funcionamiento interior para el desarrollo y de los presentes
Estatutos.?.
Y la propia Agencia Española de Protección de Datos, en sus Resoluciones de
24 mayo 2021, Procedimiento Nº: PS/00416/2020 y de 11 mayo 2021,
Procedimiento Nº: PS/00347/2020 ha adoptado diferente criterio al seguido en
el presente Expediente Sancionador ante Corporaciones de Derecho Público.
Así, la primera de las citadas Resoluciones establece lo siguiente:
?Los hechos denunciados se concretan que a través de la página web
http//www.albuixech.es/wp-content/uploads/ titularidad del reclamado se podía
acceder a datos personales de vecinos como DNI, teléfono, discapacidad,
situación económica y que a pesar de que había manifestado dar solución a la
incidencia, no se habían tomado las medidas correspondientes ya que se
podía seguir accediendo a los datos de los vecinos.
El artículo 83.5 a) del RGPD (LCEur 2016, 605) , considera que la infracción de
"los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9" es sancionable, de acuerdo
con el apartado 5 del mencionado artículo 83 del citado RGPD, "con multas
administrativas de 20.000.000? como máximo o, tratándose de una empresa,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/60
de una cuantía equivalente al 4% como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía". Por otro lado, la LOPDGDD (RCL 2018, 1629) , a efectos de
prescripción, en su artículo 72 indica: "Infracciones consideradas muy graves:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las
infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes: a) El tratamiento de
datos personales vulnerando los principios y garantías establecidos en el
artículo 5 del Reglamento (UE) 2016/679. (...)" V La vulneración del artículo 32
del RGPD (LCEur 2016, 605) se encuentra tipificada en el artículo 83.4.a) del
citado RGPD en los siguientes términos:
4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como
máximo o, tratándose de una empresa, de una cuantía equivalente al 2 %
como máximo del volumen de negocio total anual global del ejercicio financiero
anterior, optándose por la de mayor cuantía: a) las obligaciones del
responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43.
(...)" Por su parte, la LOPDGDD (RCL 2018, 1629) en su artículo 71 ,
Infracciones, señala que: "Constituyen infracciones los actos y conductas a las
que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE)
2016/679, así como las que resulten contrarias a la presente ley orgánica". Y
en su artículo 73, a efectos de prescripción, califica de "Infracciones
consideradas graves": "En función de lo que establece el artículo 83.4 del
Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años
las infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes: (...) g) El
quebrantamiento, como consecuencia de la falta de la debida diligencia, de las
medidas técnicas y organizativas que se hubiesen implantado conforme a lo
exigido por el artículo 32.1 del Reglamento (UE) 2016/679". (...)"
VI Los hechos probados evidencian el acceso a través de la página web
http//www.albuixech.es/wp-content/uploads de titularidad del reclamado a los
datos de carácter personal de vecinos de la localidad (DNI, teléfono,
discapacidad, situación económica, etc.), a pesar de que haber manifestado a
esta AEPD que había dado solución a la incidencia, quebrantando y
vulnerando las medidas de carácter técnico y organizativas y el deber de
confidencialidad de los datos. Como consta en los antecedentes y acreditado
en los hechos probados del procedimiento ha quedado acreditado que dictada
resolución de archivo de la reclamación inicial, el reclamante interpuso recurso
potestativo de reposición contra la resolución recaída mostrando su
disconformidad y exponiendo que el reclamado no había tomado las medidas
adecuadas ya que a pesar de lo alegado se continuaba accediendo a los datos
de la web municipal, aportando junto al escrito de recurso nueva
documentación relevante.
Tras el análisis y comprobaciones realizadas se constató que había
documentos publicados conteniendo información con datos de carácter
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/60
personal que no habían sido eliminados o anonimizados, estimándose el
recurso y acordando la admisión de la reclamación presentada.
Por tanto, la actuación de la entidad constituye vulneración de los principios de
confidencialidad y de seguridad de los datos, regulados en los artículos 5.1.f) y
32.1 del RGPD (LCEur 2016, 605) , y tipificada en los artículos 83.5.a) y
83.4.a) del RGPD. No obstante, con la finalidad de aclarar los términos de la
incidencia producida y que propició la apertura del presente procedimiento
sancionador, el reclamado mediante escrito de 18/02/2021 señalaba que si
bien en un principio se instaló un plugin WP Content Copy Protectión Pro para
bloquear el acceso a los documentos existentes en la página web del
Ayuntamiento y llevar a cabo la eliminación de los archivos que contenían
datos de carácter personal publicados en la citada página, tras la recepción del
acuerdo de apertura de procedimiento el servicio de informatica trato en un
primer momento de solucionar la incidencia llegando a la conclusión de que la
medida adoptada (instalar un plugin de bloqueo de acceso a la web), se
antojaba insuficiente ya que aunque impedía el acceso a los contenidos
continuaba siendo posible acceder a los mismos si se conocía la dirección URL
de los archivos publicados.
Por ello, se llevó a cabo la migración de la web de la entidad a otro servidor lo
que determino que el contenido al que se podría haber tenido acceso con
anterioridad a la citada fecha estaba eliminado no siendo posible el acceder al
mismo desde el instante en que se realizó la migración. Con la finalidad de
evitar incidencias como la ocurrida, en la nueva página web se adoptaron una
serie de medidas técnicas: eliminar el acceso a la carpeta wp-content y de su
contenido a través de. htaccess ; chequear antes de servir los permisos WP
mediante la función is-luger-logged-in , para recuperar un fichero por una
subcarpeta de wp-content, etc. Además, el reclamado ha señalado que asume
su responsabilidad como consecuencia de las infracciones cometidas si bien
considera que deben tenerse en cuenta los esfuerzos realizados para mejorar
las medidas de seguridad con la finalidad de garantizar la seguridad y la
confidencialidad de los datos de carácter personal de los que es el responsable
y que la infracción no es debido a una inacción o falta de proactividad en el
cumplimiento de la normativa sobre protección de datos.
Por otra parte, hay que señalar que el reclamado aporta impresión de pantalla
de la página web donde deberían estar el contenido de los datos de carácter
personal que provoco la reclamación y que en la actualidad se encuentran
eliminados, no siendo posible tener acceso a los mismos VII La LOPDGDD
(RCL 2018, 1629) en su artículo 77 , Régimen aplicable a determinadas
categorías de responsables o encargados del tratamiento, establece lo
siguiente: En el supuesto que nos ocupa, de conformidad con las evidencias de
las que se dispone y sin perjuicio de lo que resulte de la instrucción, dicha
conducta podría constituir, por parte del reclamado la posible infracción a lo
dispuesto en el artículo 5.1.f) y 32.1 del RGPD (LCEur 2016, 605) .
Hay que señalar que el RGPD, sin perjuicio de lo establecido en su artículo 83,
contempla en su artículo 77 la posibilidad de acudir a la sanción de
apercibimiento para corregir los tratamientos de datos personales que no se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/60
adecúen a sus previsiones, cuando los responsables o encargados
enumerados en el apartado 1 cometiesen alguna de las infracciones a las que
se refieren los artículos 72 a 74 de esta ley orgánica. Asimismo, se contempla
que la resolución que se dicte establecerá las medidas que proceda adoptar
para que cese la conducta, se corrijan los efectos de la infracción que se
hubiese cometido y su adecuación a las exigencias contempladas en los
artículos 5.1.f) y 32.1 del RGPD, así como la aportación de medios
acreditativos del cumplimiento.
Sin embargo, se considera que la respuesta formulada por el reclamado en
escrito de fecha 18/02/2021 ha sido razonable, subsanando la incidencia
producida no procediendo instar la adopción de medidas adicionales a las ya
tomadas por el reclamado, que es una de las finalidades principales de los
procedimientos respecto de aquellas entidades relacionadas en el art 77
LOPDGDD, habiendo quedado acreditado la suspensión de la web de la
entidad donde figuraba la información conteniendo los datos de carácter
personal de los vecinos al haber migrado la misma a otro servidor y adoptando
medidas para evitar que se produzcan hechos como los que dieron lugar a la
reclamación.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, La
Directora de la Agencia Española de Protección de Datos RESUELVE :
PRIMERO IMPONER al AYUNTAMIENTO DE ALBUIXECH, con NIF
P4601400G , por una infracción del artículo 5.1.f) del RGPD (LCEur 2016, 605)
, tipificada en el artículo 83.5.a) del RGPD, una sanción de apercibimiento, de
conformidad con el artículo 77 de la LOPDGDD (RCL 2018, 1629) . SEGUNDO
IMPONER al AYUNTAMIENTO DE ALBUIXECH, con NIF P4601400G , por
una infracción del artículo 32.1 del RGPD (LCEur 2016, 605) , tipificada en el
artículo 83.4.a) del RGPD, una sanción de apercibimiento, de conformidad con
el artículo 77 de la LOPDGDD (RCL 2018, 1629)?. Sobre estas resoluciones
dictadas por la propia AEPD no se pronuncia la Propuesta de Resolución.
QUINTA.- AUSENCIA DE DETERMINACIÓN DEL TIPO CORESPONDIENTE
A LAS SANCIONES PROPUESTAS Y FALTA DE MOTIVACIÓN PARA LA
DETERMINACIÓN DEL IMPORTE DE LAS MISMAS. ALTERNATIVA Y
SUBSIDIARIAMENTE, INVOCACIÓN DEL PRINCIPIO DE
PROPORCIONALIDAD.
En la Propuesta de Resolución no se establecen cuáles son los tipos concretos
de las sanciones que se proponen y la determinación y graduación del
quantum de las mismas, lo que conlleva una ausencia de motivación contraria
al artículo 35.1 a) de la Ley 39/2015 de 1 de octubre, de Procedimiento
Administrativo Común de las Administraciones Públicas. No se concreta el tipo
de infracción cometida (entendemos que, leve) ni se motiva porqué se imponen
las respectivas sanciones de 5.000, 8.000 y 1.000 euros. Con ello se puede
considerar que ha generado indefensión al COAGranada.
Alternativa y subsidiariamente, para el supuesto de que se estimase que
pudiera concurrir alguna o algunas de las infracciones contenidas en la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/60
Propuesta de Resolución, solicitamos la aplicación del principio de
proporcionalidad establecido en el citado artículo 29.3 de la LRJSP así como
de también invocado artículo 83.2.c) del RGPD.
El principio de proporcionalidad en su vertiente aplicativa, ha servido en la
jurisprudencia como un importante mecanismo de control jurisdiccional del
ejercicio de la potestad sancionadora de la Administración cuando la norma
establece para una infracción varias sanciones posibles o señala un margen
cuantitativo para la fijación de la sanción pecuniaria; y, así, se viene insistiendo
en que el mencionado principio de proporcionalidad o de la individualización de
la sanción para adaptarla a la gravedad del hecho, hacen de la determinación
de la sanción una actividad reglada y, desde luego, resulta posible en sede
jurisdiccional no sólo la confirmación o eliminación de la sanción impuesta sino
su modificación o reducción (Cfr. Sentencia de la Audiencia Nacional de 11 de
marzo de 2008, Rec. 501/2006). En este sentido, cabe citar la Sentencia del
Tribunal Supremo de 25 de septiembre de 2003 (Rec. 527/1998) : ?La potestad
sancionadora no tiene carácter discrecional y esto conlleva que, cuando para
una determinada infracción haya legalmente previsto un elenco de sanciones,
la imposición de una más grave o elevada que la establecida con el carácter de
mínima deberá ser claramente motivada mediante la consignación de las
específicas razones y circunstancias en que se funda la superior malicia o
desidia que se tienen en cuenta para elegir ese mayor castigo. Así lo impone la
interdicción de arbitrariedad del artículo 9.3 de la Constitución y también el
principio de proporcionalidad comprendido en las garantías del artículo 25 del
mismo texto constitucional?.
Por tanto, el principio de proporcionalidad implica, que al ser la actividad
sancionadora de la Administración una actividad típicamente de aplicación de
las normas, los factores que han de presidir su aplicación estén en función de
lo que disponga cade sector del Ordenamiento Jurídico y, muy especialmente,
en las circunstancias concurrentes. Tal y como establece la Sentencia del
Tribunal Superior de Justicia de Castilla y León de Burgos, nº 3/2017 de 13 de
enero (Rec. 80/2016): ?Es en este ámbito en el que juega, precisamente, un
papel extraordinariamente clarificador la motivación del concreto acto
administrativo sancionador y en la medida en que la misma habrá de definir no
sólo las circunstancias modificativas de la responsabilidad apreciadas y
probadas sino, además, la específica razón que entiende la Administración que
concurre para, en los márgenes otorgados por la ley, imponer una concreta
sanción?.
Es por ello, por lo que, en virtud de lo expuesto en las presentes Alegaciones,
en caso de que se estime que existen las conductas infractoras y consiguientes
sanciones que se ha de aplicar, lo sean reduciendo al máximo posible su
importe económico, dado que atendidas las circunstancias concurrentes, el
importe total de 14.000 euros nos parece desproporcionado y excesivo (dicho
sea con el debido respeto y en estrictos términos de defensa-. PIDO A LA
AGENCIA ESPAÑOLA DE PROTECIÓN DE DATOS: Que, habiendo por
presentado este escrito, se sirva admitirlo y tenga por hechas las alegaciones
que en el mismo se formulan. Granada para Madrid, a fecha de la firma
electrónica.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/60
HECHOS PROBADOS:
De las actuaciones practicadas en el presente procedimiento y de la información y
documentación presentada por las partes, han quedado acreditados los siguientes
hechos:
Primero: Al escrito de reclamación presentado en esta Agencia el 21/12/21, se
acompañó la siguiente documentación relevante para el presente procedimiento:
- Copia del escrito que A.A.A., colegiado ***COLEGIADO.1, remite al
reclamante, el día 30/08/21, donde, entre otras, se puede leer:
o ?(?) La Junta de Gobierno del Colegio en su sesión celebrada el 11 de
abril de 2019 adoptó, entre otros, el siguiente acuerdo: ?(AIG)
11.04.19/08.- DESIGNAR AL ***PUESTO.1 DEL COLEGIO OFICIAL
DE ARQUITECTOS COMO DELEGADO DE PROTECCIÓN DE
DATOS PARA EL COLEGIO DE ARQUITECTOS.? Por lo tanto, puedo
informarte que, actualmente el Delegado de Protección de Datos del
Colegio O4cial de Arquitectos de Granada es su ***PUESTO.1 D.
B.B.B. (?)?.
- Copia de la ?Hoja de Reclamaciones? del Colegio Oficial de Arquitectos de
Granada donde se puede leer, entre otras, la siguiente información con
respecto a la política de protección de datos:
o Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº 3,
18001 Granada . Secretaría General . Área de Atención al Colegiado y
al Usuario. Los datos recogidos formarán parte del Fichero del
COAGRANADA, siendo el Responsable el ***PUESTO.1 del mismo, a
quién se tendrá que dirigir escrito para el caso de ejercer los derechos
de acceso, oposición, rectificación y cancelación, de conformidad con la
L.O.P.D.
- Copia de la ?Solicitud de Visado? dirigida al Decano del Colegio Oficial de
Arquitectos de Granada, donde se puede leer, entre otras, la siguiente
información, respecto a la política de protección de datos:
o Conforme a lo establecido en la LO 15/1999 de Protección de Datos de
Carácter Personal, se informa de la existencia de un fichero
automatizado cuya finalidad es la prestación del servicio solicitado. Los
Solicitantes prestan expresamente su consentimiento para el
tratamiento y cesión de los datos existentes en el fichero automatizado
a los diversos Colegios Oficiales de Arquitectos españoles y a otros
órganos administrativos, a los efectos relacionados con la función de
visado. Los firmantes podrán ejercer el derecho de acceso,
rectificación, oposición y cancelación por escrito ante el C.O.A. de
Granada, con domicilio en Plaza de San Agustín Nº 3, 18001 Granada,
correo electrónico coagranada@coagranada.org
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/60
Segundo: Con fecha 27/07/22, por parte de esta Agencia se constató que en el
documento ?Hoja de Quejas y Reclamaciones de Colegiados?, accesible en la página
web,
https://coagranada.es/wp-content/uploads/2021/02/
Hoja_queja_reclamaciones_colegiados_V02.pdf,
que solamente existía la siguiente leyenda referente a la protección de datos de
carácter personal:
?Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº 3, 18001
Granada. Secretaría General. Área de Atención al Colegiado y al Usuario.
Los datos recogidos formarán parte del Fichero del COAGRANADA, siendo el
Responsable el ***PUESTO.1 del mismo, a quién se tendrá que dirigir escrito
para el caso de ejercer los derechos de acceso, oposición, rectificación y
cancelación, de conformidad con la L.O.P.D.?
También se constató que en el documento ?Hoja de Quejas y Reclamaciones de
Consumidores y Usuarios?, accesible en la página web,
https://coagranada.es/wp-content/uploads/2021/02/
Hoja_queja_reclamaciones_consumidores_V02.pdf
que solamente existía la siguiente información relacionada con la protección de datos
de carácter personal:
?Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº 3, 18001
Granada. Secretaría General. Área de Atención al Colegiado y al Usuario.
Los datos recogidos formarán parte del Fichero del COAGRANADA, siendo el
Responsable el ***PUESTO.1 del mismo, a quién se tendrá que dirigir escrito
para el caso de ejercer los derechos de acceso, oposición, rectificación y
cancelación, de conformidad con la L.O.P.D.?
Con fecha 10/04/23, por parte de esta Agencia se accede a la hoja de quejas y
reclamaciones del Colegio de Arquitectos de Granadas, accesibles a través del enlace
https://coagranada.es/quejas-y-reclamaciones/ comprobando que en la misma se
puede leer el siguiente mensaje:
Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº3, 18001
Granada. Secretaría General. Área de Atención al Colegiado y al Usuario.
En cumplimiento de los dispuesto en el Reglamento UE 2016/679, de 27 de
abril de 2016, en adelante RGPD, el Colegio Oficial de Arquitectos de Granada
con domicilio en PLAZA DE SAN AGUSTÍN 3, 18001 GRANADA y NIF nº
Q1875003D le informa que la recogida y tratamiento de sus datos a través del
presente formulario tiene como finalidad la gestión administrativa, fiscal y
contable prevista en la legislación de colegios profesionales y nuestros
estatutos. Sus datos podrán ser comunicados al Consejo General de Colegios
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/60
Oficiales de Arquitectos, organismos afines y a la Administración Pública sin
perjuicio de otras cesiones previstas legalmente. Sus datos serán conservados
durante el tiempo necesario para cumplir con las obligaciones legales. En
cualquier momento podrá consultar la información adicional de este tratamiento
o ejercitar los derechos de acceso, rectificación, supresión y oposición,
portabilidad y limitación del tratamiento dirigiendo su solicitud al domicilio arriba
indicado o por email a protecciondedatos@coagranada.org. Asimismo, en caso
de considerar vulnerado su derecho a la protección de datos personales, podrá
interponer una reclamación ante la Agencia Española de Protección de Datos
(www.agpd.es).
Tercero: Sobre la ?Política de Cookies? de la página web https://www.coagranada.es/
se constató inicialmente que se utilizaba una cookie de terceros de carácter no
exceptuado, sin el previo consentimiento del usuario de la web. Se da la circunstancia
de que esta cookie analítica se instalaba a través de la inserción de un mapa
interactivo del Instituto para la Salud Geoambiental de la Fundación ?Vivo Sano? en la
página: https://coagranada.es/mapa-zonas-radon-en-elnuevo-cte-db-hs6/ .
Con fecha 10/04/23, por parte de esta Agencia se accede nuevamente a la página web
https://www.coagranada.es/ teniendo conocimiento de las siguientes características
respecto a su ?Política de Cookies?:
Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de
navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre
la página web, se ha comprobado que se utiliza una única cookie ?_GRECAPTCHA?,
cuya finalidad es proporcionar su análisis de riesgo, como por ejemplo, detectar
intentos erróneos y reiterados de conexión.
FUNDAMENTOS DE DERECHO
I.-
Competencia:
- Sobre el tratamiento de los datos personales y la ?Política de Privacidad?:
Es competente para resolver este procedimiento, la Directora de la Agencia Española
de Protección de Datos, en virtud de los poderes que el art 58.2 del RGPD reconoce a
cada Autoridad de Control y, según lo establecido en los arts. 47, 64.2 y 68.1 de la Ley
LOPDGDD.
- Sobre la ?Política de Cookies?:
Es competente para resolver este procedimiento, la Directora de la Agencia Española
de Protección de Datos, de conformidad con lo establecido en el art. 43.1, párrafo
segundo, de la de la Ley LSSI.
II
Contestación a las alegaciones presentadas a la propuesta de resolución
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/60
a).- Sobre los presuntos conflictos de intereses del Delegado de Protección de Datos
(DPD) en la persona del ***PUESTO.1 del Colegio Oficial de Arquitectos de Granada.
Existe constancia que, en la sesión celebrada por la Junta de Gobierno del Colegio de
Arquitectos de Granada, el 11/04/19 se adoptó el acuerdo de designar al ***PUESTO.1
de dicho Colegio como Delegado de Protección de Datos (PDP) y así se especificaba
expresamente en el acta de la sesión: ?(?) Por lo tanto, puedo informarte que,
actualmente el Delegado de Protección de Datos del Colegio Oficial de Arquitectos de
Granada es su ***PUESTO.1 D. B.B.B. (?)?.
Según afirma la parte reclamada, se adoptó la decisión de nombrar a un nuevo
Delegado de Protección de Datos con fecha 26/04/22, y que fue notificado a la
Agencia en atendiendo a las exigencias del art. 38 del RGPD.
En las alegaciones presentadas por la entidad reclamada, tanto en la incoación del
expediente como en la propuesta de resolución defiende esencialmente que no
existido nunca ningún conflicto de intereses por el nombramiento del ***PUESTO.1
como Delegado de Protección de Datos (DPD), en el Colegio de Arquitectos de
Granada.
Pues bien, debemos iniciar este apartado indicando que, como ha señalado en
reiteradas ocasiones esta Agencia, la mayor novedad que presenta el RGPD es la
evolución de un modelo basado, fundamentalmente, en el control del cumplimiento de
la legalidad vigente a otro que descansa en el principio de responsabilidad activa, lo
que exige una previa valoración por el responsable o por el encargado del tratamiento
del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a
partir de dicha valoración, adoptar las medidas que procedan.
Un papel fundamental dentro del nuevo modelo de responsabilidad activa lo
desempeñará el DPD. Siguiendo también en este punto la Exposición de motivos de la
LPDGDD, ?la figura del DPD adquiere una destacada importancia en el RGPD y así lo
recoge la ley Orgánica, que parte del principio de que puede tener un carácter
obligatorio o voluntario, estar o no integrado en la organización del responsable o
encargado y ser tanto una persona física como una persona jurídica?.
La Sección 4 del CAPÍTULO IV, del RGPD -artículos 37 a 39-, regula de forma
detallada la figura del DPD. En relación con la interpretación y aplicación de estos
preceptos puede acudirse a las pautas contenidas en el documento del Grupo del
Artículo 29 ?Directrices sobre los Delegados de Protección de Datos? -WP243-,
revisadas por última vez y adoptadas el 5 de abril de 2017.
Esta regulación se ve complementada con lo dispuesto en el CAPÍTULO III del
TÍTULO V de la LOPDGDD-, en cuyos artículos 34 a 37 se contienen algunas
especialidades directamente aplicables a nuestro derecho interno. En concreto, la
designación del delegado de protección de datos se recoge en el artículo 37 del
RGPD, ampliándose en el artículo 34 de la LOPDGDD el espectro de sujetos
obligados a su nombramiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/60
De lo anterior se extrae que la exigencia del nombramiento de DPD no debe
interpretarse, sin más, como una mera formalidad, debiendo cumplirse con los
requisitos establecidos en las normas jurídicas aplicables. En consecuencia, resulta
necesario realizar un somero análisis de las funciones y recursos de los que deberá
disponer el DPD. Así, debe partirse de las importantes funciones que el art 39.1 del
RGPD asigna:
?1. El delegado de protección de datos tendrá como mínimo las siguientes
funciones: a) informar y asesorar al responsable o al encargado del tratamiento
y a los empleados que se ocupen del tratamiento de las obligaciones que les
incumben en virtud del presente Reglamento y de otras disposiciones de
protección de datos de la Unión o de los Estados miembros; b) supervisar el
cumplimiento de lo dispuesto en el presente Reglamento, de otras
disposiciones de protección de datos de la Unión o de los Estados miembros y
de las políticas del responsable o del encargado del tratamiento en materia de
protección de datos personales, incluida la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de
tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que
se le solicite acerca de la evaluación de impacto relativa a la protección de
datos y supervisar su aplicación de conformidad con el artículo 35; d) cooperar
con la autoridad de control; e) actuar como punto de contacto de la autoridad
de control para cuestiones relativas al tratamiento, incluida la consulta previa a
que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier
otro asunto.? Se trata, por consiguiente, de funciones de asesoramiento y
supervisión dirigidas a garantizar el adecuado cumplimiento de la normativa
sobre protección de datos personales, señalando el artículo 39.2 que ?El
delegado de protección de datos desempeñará sus funciones prestando la
debida atención a los riesgos asociados a las operaciones de tratamiento,
teniendo en cuenta la naturaleza, el alcance, el contexto y fines del
tratamiento?.
Asimismo, el artículo 38.1 establece claramente que: ?El responsable y el encargado
del tratamiento garantizarán que el delegado de protección de datos participe de forma
adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de
datos personales?.
Además de las importantes funciones de asesoramiento que el DPD tiene asignadas,
incluidos los supuestos en los que sea necesario realizar una evaluación de impacto
por tratarse de tratamientos de alto riesgo, y precisando las funciones de supervisión,
el artículo 36 de la LOPDGDD prevé que: ?El delegado podrá inspeccionar los
procedimientos relacionados con el objeto de la presente ley orgánica y emitir
recomendaciones en el ámbito de sus competencias?, que ?En el ejercicio de sus
funciones el delegado de protección de datos tendrá acceso a los datos personales y
procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el
encargado del tratamiento la existencia de cualquier deber de confidencialidad o
secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica?, y que, ?Cuando el
delegado de protección de datos aprecie la existencia de una vulneración relevante en
materia de protección de datos lo documentará y lo comunicará inmediatamente a los
órganos de administración y dirección del responsable o el encargado del tratamiento?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/60
Por otro lado, el artículo 39.1.e) del RGPD establece también como funciones del DPD
?actuar como punto de contacto de la autoridad de control para cuestiones relativas al
tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar
consultas, en su caso, sobre cualquier otro asunto?.
Para el adecuado cumplimiento de dichos cometidos, el RGPD exige unos requisitos
de capacitación del DPD, y que al mismo se le dote de los recursos necesarios. A los
requisitos de capacitación, se refiere el artículo 37.5 RGPD, disponiendo que ?El
delegado de protección de datos será designado atendiendo a sus cualidades
profesionales y, en particular, a sus conocimientos especializados del Derecho y la
práctica en materia de protección de datos y a su capacidad para desempeñar las
funciones indicadas en el artículo 39?. Por su parte, el artículo 35 de la LOPDGDD
añade que ?El cumplimiento de los requisitos establecidos en el artículo 37.5 del
Reglamento (UE) 2016/679 para la designación del delegado de protección de datos,
sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de
mecanismos voluntarios de certificación que tendrán particularmente en cuenta la
obtención de una titulación universitaria que acredite conocimientos especializados en
derecho y la práctica en materia de protección de datos?.
En orden a la mejor interpretación y aplicación de estos preceptos, puede acudirse a
las pautas contenidas en el documento del Grupo del Artículo 29 ?Directrices sobre los
Delegados de Protección de Datos? -WP243-, revisadas por última vez y adoptadas el
5 de abril de 2017, que, en relación con los conocimientos y habilidades del DPD,
señalan los siguientes puntos:
- Nivel de conocimientos: El nivel de conocimientos requerido no está definido
estrictamente, pero debe ser acorde con la sensibilidad, complejidad y cantidad
de los datos que una organización trata. Por ejemplo, cuando la actividad de
tratamiento de los datos es especialmente compleja o cuando implica una gran
cantidad de datos sensibles, el DPD podría necesitar un nivel mayor de
conocimientos y apoyo. Existe también una diferencia dependiendo de si la
organización transfiere sistemáticamente datos personales fuera de la Unión
Europea o si dichas 9 Gabinete Jurídico transferencias son ocasionales.
Así pues, el DPD debe elegirse con cuidado, teniendo debidamente en cuenta
las cuestiones relativas a la protección de datos que surjan en la organización.
- Cualidades profesionales: Indicar que, aunque el artículo 37, apartado 5, no
especifica las cualidades profesionales que se deben tener en cuenta a la hora
de designar al DPD, un factor importante es que este tenga conocimientos
sobre la legislación y prácticas nacionales y europeas en materia de protección
de datos y una profunda comprensión del RGPD.
- Capacidad para desempeñar sus funciones: La capacidad del DPD para
desempeñar sus funciones debe interpretarse tanto en referencia a sus
cualidades personales y conocimientos como a su puesto dentro de la
organización.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/60
Las cualidades personales deben incluir, por ejemplo, la integridad y un nivel
elevado de ética profesional; la principal preocupación del DPD debe ser
posibilitar el cumplimiento del RGPD.
El DPD desempeña un papel fundamental en la promoción de una cultura de
protección de datos dentro de la organización y contribuye a la aplicación de
elementos esenciales del RGPD, como los principios relativos al tratamiento de
datos, los derechos de los interesados, la protección de los datos desde el
diseño y por defecto, el registro de las actividades de tratamiento, la seguridad
del tratamiento y la notificación y comunicación de las violaciones de la
seguridad de los datos.
Por otro lado, la necesidad de dotar al DPD de los recursos necesarios para el
desempeño de sus funciones se recoge como una obligación del responsable
en el artículo 38.2 del RGPD: ?El responsable y el encargado del tratamiento
respaldarán al delegado de protección de datos en el desempeño de las
funciones mencionadas en el artículo 39, facilitando los recursos necesarios
para el desempeño de dichas funciones y el acceso a los datos personales y a
las operaciones de tratamiento, y para el mantenimiento de sus conocimientos
especializados?.
Deben tenerse en cuenta, en especial, los siguientes aspectos: · Apoyo activo
a la labor del DPD por parte de la alta dirección (al nivel del consejo de
administración). · Tiempo suficiente para que el DPD cumpla con sus
funciones, lo cual es particularmente importante cuando se designa un DPD
interno a tiempo parcial o cuando el DPD externo lleva a cabo la protección de
datos de manera complementaria a otras obligaciones.
De otro modo, el conflicto entre prioridades podría dar lugar al descuido de las
obligaciones del DPD. Es primordial contar con tiempo suficiente para
dedicárselo a las tareas de DPD. Es una práctica recomendable establecer un
porcentaje de tiempo para la labor propia del DPD cuando no se lleve a cabo a
tiempo completo. Es también práctica recomendable determinar el tiempo
necesario para realizar la labor, el nivel de prioridad adecuado para las
funciones del DPD y para que el DPD (o la organización) redacte un plan de
trabajo. · Apoyo adecuado en cuanto a recursos financieros, infraestructura
(locales, instalaciones, equipos) y personal, según se requiera. ·
Por consiguiente, lo esencial es que los DPDs reúnan los requisitos de capacitación e
independencia que les permitan desarrollar adecuadamente las funciones que el
RGPD les asigna, como recuerda el Considerando 97 del RGPD, ?El nivel de
conocimientos especializados necesario se debe determinar, en particular, en función
de las operaciones de tratamiento de datos que se lleven a cabo y de la protección
exigida para los datos personales tratados por el responsable o encargado?.
De este modo, y siempre que quede adecuadamente garantizada su independencia, lo
relevante es que las funciones que se asignan al DPD se puedan realizar con eficacia,
debiendo tenerse en cuenta, igualmente, el criterio de la disponibilidad, fundamental
para garantizar que los interesados puedan fácilmente contactar con el DPD (conforme
al artículo 38.4 del RGPD, ?los interesados podrán ponerse en contacto con el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/60
delegado de protección de datos por lo que respecta a todas las cuestiones relativas al
tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del
presente Reglamento?).
En conclusión, dichas funciones podrán desarrollarse eficazmente si se cumple con los
requisitos de capacitación al proceder a la designación del DPD y se le dota de los
recursos necesarios, incluido, como señala el Grupo del Artículo 29 un equipo de DPD
(un DPD y su personal), equipo que deberá ser proporcional al tamaño y estructura de
la organización, así como a la sensibilidad, complejidad y cantidad de los datos que
una organización trata, debiendo garantizarse la disponibilidad del DPD de modo que
los interesados puedan contactar con él, así como comunicarse con las autoridades de
protección de datos.
Centrándonos ya sobre las cuestiones relativas a la independencia y los posibles
conflictos de intereses del delegado, deberá estarse a las normas jurídicas que la
regula la posición del delegado en sus relaciones con el responsable y/o con el
encargado del tratamiento. Así, el artículo 36 de la LOPDDD, dispone lo siguiente:
?Posición del delegado de protección de datos? 1. El delegado de protección de
datos actuará como interlocutor del responsable o encargado del tratamiento
ante la Agencia Española de Protección de Datos y las autoridades
autonómicas de protección de datos. El delegado podrá inspeccionar los
procedimientos relacionados con el objeto de la presente ley orgánica y emitir
recomendaciones en el ámbito de sus competencias. 2. Cuando se trate de
una persona física integrada en la organización del responsable o encargado
del tratamiento, el delegado de protección de datos no podrá ser removido ni
sancionado por el responsable o el encargado por desempeñar sus funciones
salvo que incurriera en dolo o negligencia grave en su ejercicio.
Se garantizará la independencia del delegado de protección de datos dentro de la
organización, debiendo evitarse cualquier conflicto de intereses.? Por su parte, el
artículo 38.3 del RGPD, al regular la posición del delegado de Protección de Datos,
subraya su independencia al señalar que el responsable y el encargado del
tratamiento garantizarán que el delegado de protección de datos no reciba ninguna
instrucción en lo que respecta al desempeño de dichas funciones, no pudiendo ser
destituido ni sancionado por el responsable o el encargado por desempeñar sus
funciones, y rindiendo cuentas directamente al más alto nivel jerárquico del
responsable o encargado.
Además, según el documento del Grupo del Artículo 29 ?Directrices sobre los
Delegados de Protección de Datos?, revisadas por última vez y adoptadas el 5 de abril
de 2017 -WP243-, en su nombramiento debe tenerse en consideración el elemento
relativo a la independencia del DPD. Así, el artículo 38.3 del RGPD establece unas
garantías básicas para que los delegados actúen con independencia dentro de la
organización en la que prestan sus servicios, incluyendo que ?no reciban ninguna
instrucción relativa al ejercicio de sus tareas?.
Es importante señalar que los obligados al cumplimiento del RGPD son el responsable
o el encargado del tratamiento, de forma que, si adoptan decisiones contrarias a la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/60
norma y al asesoramiento prestado por el delegado, debe darse a este la posibilidad
de expresar con claridad su opinión disconforme respecto a dichas decisiones.
El anteriormente citado artículo 38.3 también se refiere a que los delegados de
protección de datos ?no deben ser destituidos ni penalizados por el responsable o el
encargado por llevar a cabo sus funciones?, lo que supone un refuerzo de su
autonomía e independencia. Sí podría ser despedido o sancionado de conformidad
con la legislación contractual, laboral o penal aplicable de cada país, por causas
distintas al desempeño de sus funciones.
En relación con el posible conflicto de intereses del delegado, las directrices sobre los
delegados de protección de datos adoptadas por el Grupo de Trabajo sobre Protección
de Datos del Artículo 29, -WP243-, señalan lo siguiente: ?3.5. Conflicto de intereses El
artículo 38, apartado 6, permite a los DPD ?desempeñar otras funciones y cometidos?.
No obstante, requiere que la organización garantice que «dichas funciones y
cometidos no den lugar a conflicto de intereses?.
La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar
de manera independiente. Esto supone, en especial, que el DPD no puede ocupar un
cargo en la organización que le lleve a determinar los fines y medios del tratamiento de
datos personales. Por otro lado, aunque los DPD puedan tener otras funciones,
solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a
conflictos de intereses. Debido a la estructura organizativa específica de cada
organización, esto deberá considerarse caso por caso.
Como norma general, los cargos en conflicto dentro de una organización pueden
incluir los puestos de alta dirección (tales como director general, director de
operaciones, director financiero, director médico, jefe del departamento de
mercadotecnia, jefe de recursos humanos o director del departamento de TI) pero
también otros cargos inferiores en la estructura organizativa si tales cargos o puestos
llevan a la determinación de los fines y medios del tratamiento.
Asimismo, también puede surgir un conflicto de intereses, por ejemplo, si se pide a un
DPD que represente al responsable o al encargado del tratamiento ante los tribunales
en casos relacionados con la protección de datos.
De lo anterior se extrae que, al margen de la fórmula adoptada para su nombramiento,
la designación del delegado de protección de datos ha de responder a las exigencias
derivadas del principio de independencia en el desarrollo de su actividad, debiendo
garantizarse que el desempeño de sus funciones y cometidos no den lugar a conflicto
de intereses. La provisión de delegado de protección de datos en las organizaciones
públicas o privadas exige que la selección se ajuste a los requisitos legalmente
establecidos y, en especial, que se acrediten los conocimientos especializados en
derecho y práctica de la protección de datos que señala el RGPD.
Por lo demás, la fórmula adoptada para el nombramiento de DPD dependerá de la
decisión adoptada por la entidad en la que desempeñe sus funciones, como
consecuencia de su autonomía organizativa. Sin embargo, las cuestiones relativas a la
autonomía de las organizaciones en las que se encuadren los delegados, claramente
derivadas en la normativa analizada en este informe, no pueden ser óbice para la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/60
necesaria garantía de la independencia del delegado de protección de datos - ex
artículo 38 RGPD- en el marco de las relaciones jurídicas internas y externas que
mantenga en el desarrollo de sus funciones.
Así, en todo caso, resultará exigible, tal y como prevé el artículo 36 de la LOPDGDD,
que (i) cuando se trate de una persona física integrada en la organización del
responsable o encargado del tratamiento, el delegado de protección de datos no
pueda ser removido ni sancionado por el responsable o el encargado por desempeñar
sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio, que (ii)
se garantice la independencia del delegado de protección de datos dentro de la
organización, debiendo evitarse cualquier conflicto de intereses, y que (iii) cuando el
delegado de protección de datos aprecie la existencia de una vulneración relevante en
materia de protección de datos lo documente y comunique inmediatamente a los
órganos de administración y dirección del responsable o el encargado del tratamiento.
En definitiva, si bien la Sección 4 del CAPÍTULO IV, del RGPD -artículos 37 a 39-,
contempla para los DPD amplias posibilidades en cuanto a su nombramiento y
encuadre en la organización de las entidades a las que se refiere su designación, no
es menos cierto que dicha autonomía debe conciliarse con las exigencias derivadas
del principio de independencia del delegado, debiendo garantizarse que el ejercicio de
sus funciones no dé lugar situaciones de incompatibilidad, ni a conflicto de intereses.
En las normas jurídicas que regulan la figura del delegado de protección de datos, se
configuran el requisito de su independencia como consustancial al desempeño de sus
funciones.
En el caso que nos ocupa, la Junta de Gobierno del Colegio de Arquitectos de
Granada, en sesión celebrada el 11/04/19 adoptó el acuerdo de designar al
***PUESTO.1 de dicho Colegio como Delegado de Protección de Datos (DPD), y así
se certifica en el escrito enviado por el Colegio al reclamante el 30/08/21: ?(?) Por lo
tanto, puedo informarte que, actualmente el Delegado de Protección de Datos del
Colegio Oficial de Arquitectos de Granada es su ***PUESTO.1 D. B.B.B. (?)?.
En la Orden de 20 de febrero de 2018, por la que se aprueba la modificación de los
Estatutos del Colegio Oficial de Arquitectos de Granada se establece, en su artículo 13
y 14, las funciones y la composición del su Junta de Gobierno; en su artículo 15, las
funciones de la Comisión Permanente y en su artículo 17, las funciones propias del
***PUESTO.1 del Colegio.
Tal y como hemos indicado anteriormente, la Sección 4 del CAPÍTULO IV, del RGPD -
artículos 37 a 39-, regula de forma detallada la figura del DPD y en relación con la
interpretación y aplicación de estos preceptos se puede acudir a las pautas contenidas
en el documento del Grupo del Artículo 29 ?Directrices sobre los Delegados de
Protección de Datos? -WP243-, revisadas por última vez y adoptadas el 5 de abril de
2017: (https://ec.europa.eu/newsroom/article29/itemdetail.cfm?item_id=612048).
Esta regulación se ve complementada con lo dispuesto en el CAPÍTULO III del
TÍTULO V de la LOPDGDD-, en cuyos artículos 34 a 37 se contienen algunas
especialidades directamente aplicables a nuestro derecho interno. Así, el artículo 36
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/60
LOPDGDD garantiza la independencia del DPD dentro de la organización, debiendo
evitarse cualquier conflicto de intereses.
Por su parte, el artículo 38.3 del RGPD, al regular la posición del DPD, subraya su
independencia al señalar que el responsable y el encargado del tratamiento
garantizarán que el delegado de protección de datos no reciba ninguna instrucción en
lo que respecta al desempeño de dichas funciones, no pudiendo ser destituido ni
sancionado por el responsable o el encargado por desempeñar sus funciones, y
rindiendo cuentas directamente al más alto nivel jerárquico del responsable o
encargado.
En el caso concreto que no ocupa, las funciones como ***PUESTO.1 del Colegio de
Arquitectos de Granada que incurren en conflicto de intereses, son todas aquellas en
la que realice actividades o asesore como ***PUESTO.1 sobre cuestiones que puedan
verse incididas por la protección de datos de los colegiados, personal al servicio del
Colegio o usuarios del mismo y tenga además que desarrollar las funciones propias de
un DPD.
Si atendemos a las funciones propias del ***PUESTO.1 del Colegio Oficial de
Arquitectos (artículo 17) que pueden ser incididas por la protección de datos, nos
encontramos con que tiene facultades para: 2. Resolver provisionalmente acerca de la
admisión de los nuevos colegiados de conformidad con lo dispuesto en estos
Estatutos Particulares. 3. Recibir y tramitar todas las solicitudes y comunicaciones que
se dirijan al Colegio y a sus diferentes Órganos, dando cuenta de ellas a quien
corresponda. 4. Librar las certificaciones que se soliciten y deban ser expedidas y
llevar el libro registro de colegiados. 5. Formular anualmente las listas de colegiados
en sus distintas versiones. Estas listas deberán anualmente estar dispuestas en los
plazos que se disponen en estos Estatutos Particulares a efectos de elecciones. 6.
Hacer las notificaciones de altas y bajas colegiales. 7. Llevar los libros de actas de las
reuniones de la Asamblea General de colegiados, Junta de Gobierno y de la Comisión
Permanente y trasladar los acuerdos, llevando el seguimiento del cumplimiento de los
mismos.
Asimismo, el ***PUESTO.1 es miembro nato de la Junta de Gobierno, que tiene como
funciones (artículo 13.2), que pueden verse incididas por la protección de datos, las
siguientes: c) Resolver las solicitudes de incorporación de nuevos colegiados, de bajas
colegiales y sobre la suspensión de servicios colegiales y de la condición de colegial.
e) Recaudar, distribuir y administrar los fondos del Colegio, conforme a lo previsto en
el Título sobre Régimen Económico y Patrimonial de los presentes Estatutos
Particulares. k) Ejercer la función disciplinaria y adoptar medidas cautelares, incoando,
de oficio o en virtud de denuncia, los expedientes disciplinarios, en los que dictará la
correspondiente Resolución.
También, como miembro de la Comisión Permanente del Colegio Oficial (artículo 15),
que tiene como funciones, que pueden verse incididas por la protección de datos, las
siguientes: 1. Poner en práctica las directrices emanadas de la Junta de Gobierno. 2.
Proponer a la Junta de Gobierno cuantos actos sean consecuencia de las
competencias que ésta tiene asumidas. 3. La adopción de las medidas necesarias
para el cumplimiento de los acuerdos de la Junta de Gobierno. 4. Organizar los
servicios de las oficinas del Colegio.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/60
A mayor abundamiento significar que el ***PUESTO.1 de este colegio oficial forma
parte de estos dos órganos colegiados de dirección y administración, que determinan
fines y medios del tratamiento, con voz y voto, de tal forma que, amén de su
asesoramiento, su voluntad conforma la del órgano colegiado.
Por tanto, atendiendo a las funciones que, según el RGPD corresponden al DPD y las
funciones que, según la Orden de 20 de febrero de 2018, por la que se aprueba la
modificación de los Estatutos del Colegio Oficial de Arquitectos de Granada,
corresponden a la Junta de Gobierno y a la Comisión Permanente del Colegio Oficial
de Arquitectos de Granada, además de las propias del cargo de ***PUESTO.1, es
evidente la existencia de un conflicto de intereses por parte del ***PUESTO.1 del
Colegio Oficial de Arquitecto de Granada para actuar como DPD de dicho Organismo,
desde que fue nombrado como DPD el 11/04/19 hasta el 26/04/22 cuando se adoptó
la decisión de sustituirle.
b).- Sobre la presunta falta de información en los formularios sobre ?quejas y
reclamaciones?, referente al tratamiento de los datos personales obtenidos en los
mismos.
Según se pudo constatar por parte de esta Agencia, el 27/07/22, al acceder al documento
?Hoja de Quejas y Reclamaciones de Colegiados? a través de enlace:
https://coagranada.es/wp-content/uploads/2021/02/Hoja_queja_reclamaciones_colegiados
_V02.pdf
se puede leer, en la parte inferior de la misma, debajo del formulario, la siguiente leyenda
:
?Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº 3, 18001
Granada. Secretaría General. Área de Atención al Colegiado y al Usuario.
Los datos recogidos formarán parte del Fichero del COAGRANADA, siendo el
Responsable el ***PUESTO.1 del mismo, a quién se tendrá que dirigir escrito
para el caso de ejercer los derechos de acceso, oposición, rectificación y cancelación
, de conformidad con la L.O.P.D.?
también se pudo constatar ese mismo día 27/07/22, que en el documento ?Hoja de
Quejas y Reclamaciones de Consumidores y Usuarios? accesible en el enlace:
https://coagranada.es/wp-content/uploads/2021/02/Hoja_queja_reclamaciones_consumidores
_V02.pdf
existía la siguiente leyenda:
?Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº 3, 18001
Granada. Secretaría General. Área de Atención al Colegiado y al Usuario.
Los datos recogidos formarán parte del Fichero del COAGRANADA, siendo el
Responsable el ***PUESTO.1 del mismo, a quién se tendrá que dirigir escrito
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/60
para el caso de ejercer los derechos de acceso, oposición, rectificación y cancelación
, de conformidad con la L.O.P.D.?
En el escrito de alegaciones a la incoación de expediente, presentado por la entidad
reclamada ante esta Agencia el 29/09/22, se indicaba, entre otras, que: ?(?) Respecto
a la sanción referida por la vulneración del art. 13 RGPD, hemos de dejar constancia
de la aplicación de la medida correctiva propuesta y de que se ha incorporado toda la
información referida en el art. 13 del RGPD a los formularios a disposición tanto de
Colegiados como de la ciudadanía en general, por lo que solicitamos que se tenga en
cuenta esta medida al amparo del art. 83.2.c) del RGPD (?)?.
En la comprobación realizada por esta Agencia después de escrito de alegaciones de
las hojas de quejas y reclamaciones del Colegio de Arquitectos de Granadas, accesibles
a través del enlace https://coagranada.es/quejas-y-reclamaciones/, se pedía leer
el siguiente mensaje:
Colegio Oficial de Arquitectos de Granada. Plaza de San Agustín Nº3, 18001
Granada. Secretaría General. Área de Atención al Colegiado y al Usuario.
En cumplimiento de los dispuesto en el Reglamento UE 2016/679, de 27 de
abril de 2016, en adelante RGPD, el Colegio Oficial de Arquitectos de Granada
con domicilio en PLAZA DE SAN AGUSTÍN 3, 18001 GRANADA y NIF nº
Q1875003D le informa que la recogida y tratamiento de sus datos a través del
presente formulario tiene como finalidad la gestión administrativa, fiscal y contable
prevista en la legislación de colegios profesionales y nuestros estatutos.
Sus datos podrán ser comunicados al Consejo General de Colegios Oficiales
de Arquitectos, organismos afines y a la Administración Pública sin perjuicio de
otras cesiones previstas legalmente. Sus datos serán conservados durante el
tiempo necesario para cumplir con las obligaciones legales. En cualquier momento
podrá consultar la información adicional de este tratamiento o ejercitar
los derechos de acceso, rectificación, supresión y oposición, portabilidad y limitación
del tratamiento dirigiendo su solicitud al domicilio arriba indicado o por
email a protecciondedatos@coagranada.org. Asimismo, en caso de considerar
vulnerado su derecho a la protección de datos personales, podrá interponer
una reclamación ante la Agencia Española de Protección de Datos (www.agpd.es
).
Pues bien, el artículo 12.1 del RGPD establece, sobre los requisitos que debe cumplir
la información que el responsable del tratamiento debe poner a disposición de los interesados
, lo siguiente:
?1. El responsable del tratamiento tomará las medidas oportunas para facilitar
al interesado toda información indicada en los artículos 13 y 14, así como cualquier
comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento
, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje
claro y sencillo, en particular cualquier información dirigida específicamente
a un niño. La información será facilitada por escrito o por otros medios,
inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado,
la información podrá facilitarse verbalmente siempre que se demuestre la identidad
del interesado por otros medios (?)?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/60
Y por su parte, el artículo 13 del RGPD, detalla la información que se debe facilitar al
interesado cuando los datos son recogidos directamente de él, estableciéndose lo siguiente
:
?1. Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará
:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante
; b) los datos de contacto del delegado de protección de datos, en
su caso; c) los fines del tratamiento a que se destinan los datos personales y la
base jurídica del tratamiento; d) cuando el tratamiento se base en el artículo 6,
apartado 1, letra f), los intereses legítimos del responsable o de un tercero; e)
los destinatarios o las categorías de destinatarios de los datos personales, en
su caso; f) en su caso, la intención del responsable de transferir datos personales
a un tercer país u organización internacional y la existencia o ausencia de
una decisión de adecuación de la Comisión, o, en el caso de las transferencias
indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo,
referencia a las garantías adecuadas o apropiadas y a los medios para obtener
una copia de estas o al hecho de que se hayan prestado.
2.Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento
de datos leal y transparente: a) el plazo durante el cual se conservarán los
datos personales o, cuando no sea posible, los criterios utilizados para determinar
es-te plazo; b) la existencia del derecho a solicitar al responsable del tratamiento
el acceso a los datos personales relativos al interesado, y su rectificación
o su-presión, o la limitación de su tratamiento, o a oponerse al tratamiento,
así como el derecho a la portabilidad de los datos; c) cuando el tratamiento esté
basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra
a), la existencia del derecho a retirar el consentimiento en cualquier momento,
sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo
a su retira-da; d) el derecho a presentar una reclamación ante una autoridad
de control; e) si la comunicación de datos personales es un requisito legal o
contractual, o un requisito necesario para suscribir un contrato, y si el interesado
está obligado a facilitar los datos personales y está informado de las posibles
consecuencias de que no facilitar tales datos; f) la existencia de decisiones
automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22,
apartados 1 y 4, y, al menos en tales casos, información significativa sobre la
lógica aplicada, así como la importancia y las consecuencias previstas de dicho
tratamiento para el interesado?.
Por tanto, es evidente que, como mínimo desde que el reclamante presenta el escrito
reclamación el 21/12/21 hasta el 29/09/22, fecha en la que la parte reclamada presenta
las alegaciones a la incoación indicando haber solucionado las deficiencias observadas
por esta Agencia, se produce una vulneración de lo establecido en el RGPD respecto
de la información que se debe proporcionar a los usuarios cuando se obtienen
de ellos sus datos personales, como la identidad y los datos de contacto del responsa-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/60
ble, los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento; los posibles destinatarios o las categorías de destinatarios de los datos
personales, en su caso; el plazo durante el cual se conservarán los datos personales
o, cuando no sea posible, los criterios utilizados para determinar este plazo o el derecho
a presentar una reclamación ante una autoridad de control, por lo que incumplían
lo estipulado en la normativa vigente en materia de protección de datos.
c).- Sobre la Política de Cookies de la página web https://www.coagranada.es/ .
Con fecha 27/07/22, se pudo constatar que al entrar en la página web del Colegio
Oficial de Arquitectos de Granada https://www.coagranada.es/ se utilizaban dos
cookies ?PHPSESSID? y otra de Google, ?_GRECAPTCHA?.
Según el Dictamen 4/2012 del WP 194 sobre la exención del requisito de
consentimiento de cookies, la exención aplicada a las cookies de autenticación podría
aplicarse a otras introducidas específicamente para reforzar la seguridad del servicio
solicitado, por ejemplo, aquellas cookies cuya finalidad es la de detectar intentos
erróneos y reiterados de conexión a un sitio web o para protección del sistema de
conexión frente a abusos como es el caso de ?_GRECAPTCHA?.
Sin embargo, tras la navegación por el sitio web, se observó que se instalaban cookies
de terceros de carácter no exceptuado, de las que no se informaba en las políticas. Se
da la circunstancia de que estas cookies analíticas se instalan a través de la inserción
de un mapa interactivo del Instituto para la Salud Geoambiental de la Fundación Vivo
Sano en la página: https://coagranada.es/mapa-zonas-radon-en-elnuevo-cte-db-hs6/
.
En las posteriores comprobaciones realizadas por esta Agencia, respecto de la
?Política de Cookies? de la página web https://www.coagranada.es/, el 10/04/23 la
última de ellas el 03/05/23, se observa que la web solamente utiliza la cookie
?_GRECAPTCHA?, establecida con el fin de proporcionar su análisis de riesgo frente a
los intentos erróneos y reiterados de conexión a la web.
En este sentido, el GT29, en su Dictamen 4/2012, interpretó que entre las cookies
exceptuadas estarían las Cookies de entrada del usuario? (aquellas utilizadas para
rellenar formularios, o como gestión de una cesta de la compra); cookies de
autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario
(aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio
web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar
la carga; cookies de personalización de la interfaz de usuario y algunas de
complemento (plug-in) para intercambiar contenidos sociales.
Estas cookies quedarían excluidas del ámbito de aplicación del artículo 22.2 de la
LSSI, y, por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su
uso. Por el contrario, será necesario informar y obtener el consentimiento previo del
usuario antes de la utilización de cualquier otro tipo de cookies, tanto de primera como
de tercera parte, de sesión o persistentes.
Por tanto, la utilización de cookies de terceros de terceros de carácter no exceptuado,
durante el tiempo que estuvieron activas, cómo mínimo desde el 27/07/22, fecha de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/60
detección por parte de esta Agencia de dichas cookies hasta el 10/04/23, suponen por
parte del reclamado, la comisión de la infracción del artículo 22.2 de la LSSI.
Respecto a la aplicación del principio de proporcionalidad alegado por la entidad
reclamada, se debe indicar que no procede pues en el presente caso, el expediente
sancionador por infracción del artículo 22.2 de la LSSI, solamente se consideró como
agravante, la existencia de intencionalidad, expresión interpretada como equivalente a
grado de culpabilidad de acuerdo con la Sentencia de la Audiencia Nacional de
12/11/07 recaída en el Recurso núm. 351/2006.
d).- Sobre la posible aplicación del artículo 77.2 de la LOPDGDD en el presente caso.
El art. 83.7 del RGPD establece que: "Sin perjuicio de los poderes correctivos de las
autoridades de control (?) cada Estado miembro podrá establecer normas sobre si se
puede, y en qué medida, imponer multas administrativas a autoridades y organismos
públicos establecidos en dicho Estado miembro".
En aplicación del citado artículo, el artículo 77 LOPDGDD, sobre el régimen aplicable a
determinadas categorías de responsables o encargados del tratamiento, establece,
sobre el régimen aplicable a las Entidades que forman la Administración Pública, lo
siguiente:
?1. El régimen establecido en este artículo será de aplicación a los tratamientos
de los que sean responsables o encargados: (?)
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento
se relacionen con el ejercicio de potestades de derecho público.
Antes de entrar en su análisis, con carácter previo, hay que tener en cuenta que los
Colegios Profesionales, son corporaciones de Derecho Público, amparadas por la Ley
y reconocidas por el Estado, con personalidad jurídica propia y plena capacidad para
el cumplimiento de sus fines.
A pesar de calificarse como corporación de Derecho Público, es necesario tener
presente que puede ejercitar también funciones de naturaleza jurídico-privada,
dependiendo si el Colegio está actuando en el ejercicio de funciones públicas o, por el
contrario, en el ejercicio de funciones privadas.
Antes de seguir, matizar el error al hacer referencia a la Ley 7/2006, de 31 de mayo,
cuando se debió hacer referencia en realidad como cabecera de la normativa aplicable
a los colegios profesionales, a la Ley 2/1974, de 13 de febrero, sobre Colegios
Profesionales, aunque esta Ley estaba ya referenciada e incursa en la coletilla ?(?) u
otra normativa?.
Pues bien, aun cuando los Colegios profesionales son corporaciones de Derecho
Público, amparadas por la ley y reconocidas por el Estado, con personalidad jurídica
propia y plena capacidad para el cumplimiento de sus fines (art. 1.1 Ley 2/1974, de 13
de febrero, de Colegios Profesionales) tienen una naturaleza mixta que implica que,
efectivamente, los Colegios desarrollan funciones públicas, pero también llevan a cabo
actividades y prestan servicios a sus colegiados en régimen de derecho privado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/60
Es cierto que el régimen jurídico de estas organizaciones es necesariamente complejo
puesto que carece de uniformidad y ha de adaptarse a la naturaleza (pública o
privada) de la actividad que lleve a cabo el Colegio en cada momento. Las funciones
públicas a ejercer por los Colegios Profesionales son, esencialmente la ordenación del
ejercicio profesional, que incluye el ejercicio de la potestad sancionadora y el control
del cumplimiento de las normas deontológicas. En ausencia de tales funciones
públicas, no cabe hablar con propiedad de Colegios sino de asociaciones privadas
consagradas a la consecución de fines orientados al beneficio exclusivo de sus
miembros.
Como ya hemos indicados en el apartado a).- ?Sobre los presuntos conflictos de
intereses del Delegado de Protección de Datos (DPD) en la persona del ***PUESTO.1
del Colegio Oficial de Arquitectos de Granada?, las funciones propias del ***PUESTO.1
del Colegio Oficial de Arquitectos (artículo 17) que pueden ser incididas por la
protección de datos, nos encontramos con que tiene facultades para: 2. Resolver
provisionalmente acerca de la admisión de los nuevos colegiados de conformidad con
lo dispuesto en estos Estatutos Particulares. 3. Recibir y tramitar todas las solicitudes y
comunicaciones que se dirijan al Colegio y a sus diferentes Órganos, dando cuenta de
ellas a quien corresponda. 4. Librar las certificaciones que se soliciten y deban ser
expedidas y llevar el libro registro de colegiados. 5. Formular anualmente las listas de
colegiados en sus distintas versiones. Estas listas deberán anualmente estar
dispuestas en los plazos que se disponen en estos Estatutos Particulares a efectos de
elecciones. 6. Hacer las notificaciones de altas y bajas colegiales. 7. Llevar los libros
de actas de las reuniones de la Asamblea General de colegiados, Junta de Gobierno y
de la Comisión Permanente y trasladar los acuerdos, llevando el seguimiento del
cumplimiento de los mismos.
Asimismo, el ***PUESTO.1 es miembro nato de la Junta de Gobierno, que tiene como
funciones (artículo 13.2), que pueden verse incididas por la protección de datos, las
siguientes: c) Resolver las solicitudes de incorporación de nuevos colegiados, de bajas
colegiales y sobre la suspensión de servicios colegiales y de la condición de colegial.
e) Recaudar, distribuir y administrar los fondos del Colegio, conforme a lo previsto en
el Título sobre Régimen Económico y Patrimonial de los presentes Estatutos
Particulares. k) Ejercer la función disciplinaria y adoptar medidas cautelares, incoando,
de oficio o en virtud de denuncia, los expedientes disciplinarios, en los que dictará la
correspondiente Resolución.
A mayor abundamiento significar que, en este caso concreto, la reclamación se
constriñe a ?la privacidad de los datos de los colegiados y por tanto sus derechos?, por
lo que va más allá de las funciones públicas.
Por tanto, en el presente caso, el conflicto de intereses detectado en el nombramiento
del ***PUESTO.1 del Colegio como Delegado de Protección de datos como ya hemos
expuesto en el apartado a).- ?Sobre los presuntos conflictos de intereses del Delegado
de Protección de Datos (DPD) en la persona del ***PUESTO.1 del Colegio Oficial de
Arquitectos de Granada?, y la falta de información suministrada en las hojas de
reclamaciones del Colegio, sobre el tratamiento de los datos personales de los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/60
usuarios particulares, no tienen cabida en ninguna de las funciones públicas que le
atribuye la normativa, por lo que no cabría aplicar en este caso lo establecido en el
artículo 77 de la LOPDGDD y sobre la ?Política de Cookies?, indicar que se rigen por la
LSSI, por lo que no sería tampoco de aplicación el art. 77 de la LOPDGDD.
e).- Sobre las alegaciones presentadas respecto a las Resoluciones de esta Agencia
de 24 mayo 2021, Procedimiento Nº: PS/00416/2020 y de 11 mayo 2021,
Procedimiento Nº: PS/00347/2020
En la resolución del PS/00416/2020, se puede leer, textualmente lo siguiente:
?(?) Hay que señalar que el RGPD, sin perjuicio de lo establecido en su
artículo 83, contempla en su artículo 77 la posibilidad de acudir a la sanción de
apercibimiento para corregir los tratamientos de datos personales que no se
adecúen a sus previsiones, cuando los responsables o encargados
enumerados en el apartado 1 cometiesen alguna de las infracciones a las que
se refieren los artículos 72 a 74 de esta ley orgánica (?).
No obstante, como hemos indicado anteriormente, el conflicto de intereses detectado
en el nombramiento del ***PUESTO.1 del Colegio como Delegado de Protección de
datos, y la falta de información suministrada en las hojas de reclamaciones del
Colegio, sobre el tratamiento de los datos personales de los usuarios particulares, no
tienen cabida en ninguna de las funciones públicas que le atribuye la normativa, por lo
que no cabría aplicar tampoco, en este caso lo establecido en el artículo 77 de la
LOPDGDD.
d ).- Sobre la ausencia de determinación del tipo correspondiente a las sanciones
propuestas y falta de motivación para la determinación del importe de las mismas,
alternativa y subsidiariamente, invocación del principio de proporcionalidad.
Las infracciones en materia de protección de datos están tipificadas en los apartados
4, 5 y 6 del artículo 83 del RGPD. Es una tipificación por remisión, admitida
plenamente por nuestro Tribunal Constitucional. En este sentido, también el artículo 71
de la LOPDGDD realiza una referencia a las mismas al señalar que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
En este sentido, el Dictamen del Consejo de Estado de 26 de octubre de 2017 relativo
al Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal
dispone que ?El Reglamento Europeo sí tipifica, por más que lo haga en un sentido
genérico, las conductas constitutivas de infracción: en efecto, los apartados 4, 5 y 6 de
su artículo 83 contienen un catálogo de infracciones por vulneración de los preceptos
de la norma europea que en tales apartados se indican.
Las infracciones fijadas en los artículos 72, 73 y 74 del LOPDGDD lo son sólo a los
efectos de la prescripción, tal y como reza el inicio de todos y cada uno de estos
preceptos. Esta necesidad surgió en nuestro Estado dado que no existe en el RGPD
referencia alguna a la prescripción relativa a las infracciones, dado que este instituto
jurídico no es propio de todos los Estados miembros de la UE.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/60
Debemos partir de que el RGPD es una norma jurídica directamente aplicable, que ha
sido desarrollada por la LOPDGDD, sólo en aquello que le permite el primero. Así
queda patente y en cuanto a la prescripción en la propia exposición de motivos de la
LOPDGDD cuando expresa que ?La categorización de las infracciones se introduce a
los solos efectos de determinar los plazos de prescripción, teniendo la descripción de
las conductas típicas como único objeto la enumeración de manera ejemplificativa de
algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos
generales establecidos en la norma europea. La ley orgánica regula los supuestos de
interrupción de la prescripción partiendo de la exigencia constitucional del
conocimiento de los hechos que se imputan a la persona?.
Resulta de la aplicación e interpretación del RGPD, y no de la LOPDGDD, el que
determina la gravedad de una infracción atendiendo a una serie de condicionantes
previstos en el mismo.
Como podemos comprobar, no está presente en el RGPD una tipificación en
infracciones muy graves, graves o leves típica del ordenamiento jurídico español, ni
tampoco puede deducirse de su dicción que la vulneración de los preceptos del
artículo 83.4 del RGPD correspondan a infracciones leves y los preceptos del artículo
83.5 o del artículo 83.6 del RGPD correspondan a infracciones graves.
Así, el considerando 148 habla de infracciones graves en contraposición con las leves
cuando determina que, ?En caso de infracción leve, o si la multa que probablemente
se impusiera constituyese una carga desproporcionada para una persona física, en
lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no
obstante prestarse especial atención a la naturaleza, gravedad y duración de la
infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y
perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior
pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la
infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado,
a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o
atenuante.?.
Por todo ello, la gravedad de una infracción se determina a los efectos del RGPD y
con los elementos dotados por éste.
De nuevo traemos a colación el Dictamen del Consejo de Estado precitado, que lo
explica con verdadera profusión: ?Por otra parte, el Reglamento Europeo no distingue,
al fijar la cuantía de las sanciones, entre infracciones muy graves, graves y leves,
como dice la exposición de motivos del Anteproyecto. En realidad, la norma europea
se limita a distinguir, en función del límite cuantitativo máximo de la multa a imponer,
entre unas infracciones que pueden ser sancionadas "con multas administrativas de 10
000 000 EUR como máximo o, tratándose de una empresa, de una cuantía
equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio
financiero anterior" (apartado 4 del artículo 83), y otras infracciones que pueden ser
sancionadas "con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior" (apartados 5 y 6
del artículo 83). De esta distinción se colige que, para el Derecho de la Unión Europea,
las infracciones tipificadas en los apartados 5 y 6 del artículo 83 pueden llegar a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/60
revestir una misma y mayor gravedad que las contempladas en el apartado 4 del
mismo artículo 83 del Reglamento Europeo. La norma europea se limita pues a
establecer dos categorías de infracciones en razón de su gravedad.
Los plazos de prescripción de las infracciones no se encuentran previstos en el
Reglamento Europeo y, por tanto, existe el entendimiento, tácito pero pacífico, de que
los Estados miembros ostenta competencia para el establecimiento de tales plazos. La
determinación de tales plazos debe estar en función, como es bien conocido, de la
gravedad de la infracción.
Pues bien, las infracciones previstas apartado 4 del artículo 83, de una parte, y en los
apartados 5 y 6 del artículo 83 del Reglamento Europeo, de otra, tienen un diferente
límite máximo -10.00.000 euros o el 2% del volumen de negocio en el primer caso,
20.000.000 euros o el 4% del volumen de negocio en el segundo- pero el mismo límite
mínimo, que en ambos casos es de 1 euro. La existencia de tan amplios márgenes
cuantitativos indica que las infracciones del artículo 83, sean las del apartado 4 sean
las de los apartados 5 y 6, puede ser de muy diferente entidad y que, por tal razón, no
pueden tener el mismo plazo de prescripción aquellas infracciones que, por su
gravedad, se encuentren próximas al límite cuantitativo superior que aquellas otras
que, por su levedad, estén más cerca del límite cuantitativo inferior.
En tales circunstancias, la fijación de los plazos de prescripción no quedaría resuelta
de forma satisfactoria aplicando a las infracciones de los preceptos mencionados en
los apartados 5 y 6 del artículo 83 un plazo superior que a las infracciones de los
preceptos mencionados en el apartado 4 del artículo 83, dado que las infracciones
contempladas unos y otros preceptos, en caso de ser leves, exigirían un plazo de
prescripción inferior.
Desde este punto de vista y con el único objeto de establecer su plazo de prescripción,
se ha distinguido entre "infracciones meramente formales" y "vulneraciones
sustanciales" de tales preceptos, considerando a las primeras como "infracciones
leves" con un plazo de prescripción de un año y a las segundas como "infracciones
graves" y "muy graves" con unos plazos de prescripción de dos y tres años
respectivamente. A juicio del Consejo de Estado, esta clasificación de las infracciones,
en la medida en que se realiza a los solo efectos de determinar unos plazos de
prescripción de las infracciones no previstos en el Reglamento Europeo, no puede
entenderse contraria a lo dispuesto en la norma europea.
Esta clasificación no tiene, sin embargo, trascendencia en cuanto al importe de las
multas. La determinación de la cuantía de las multas a imponer por la vulneración de
los preceptos mencionados en los apartados 4, 5 y 6 del artículo 83 del Reglamento
Europeo compete, de acuerdo con la norma europea, a las autoridades de control, de
acuerdo con los criterios de graduación establecidos en el apartado 2 de este mismo
precepto, entre los que se encuentra la "naturaleza" o "gravedad" de la infracción".
Dentro de los límites cuantitativos establecidos por el Reglamento Europeo, las
autoridades de control, atendiendo a la mayor o menor gravedad de la infracción,
deben fijar el importe de las multas. Ciertamente, los márgenes con que cuentan las
autoridades de control son amplísimos -de 1 euro a 10.000.000 euros por infracción de
los preceptos mencionados en el apartado 4 del artículo 83 y de 1 euro a 20.000.000
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/60
euros por infracción de los preceptos mencionados en los apartados 5 y 6-, lo que
confiere a tales autoridades un elevado grado de discrecionalidad, muy superior a los
que suele ser habitual en países de nuestra tradición jurídica.
Se trata, en todo caso, del modelo querido por el Reglamento Europeo, de ahí que la
distinción entre infracciones leves, graves y muy graves contemplada en el
Anteproyecto no pueda tener consecuencia en la determinación de la cuantía máxima
de las infracciones leves, debiendo estarse en todo caso a la determinación de su
importe que hagan las autoridades de control, conforme a las circunstancias del caso
concreto, dentro de los límites marcados en aquel reglamento?.
Así, la clasificación de las infracciones a los efectos de la prescripción de la
LOPDGDD no tiene virtualidad en cuanto a la determinación de la gravedad de la
infracción a los efectos del RGPD ni respecto de la imposición de las multas
correspondientes?.
Pues bien, en la propuesta de resolución del presente expediente, notificada al
interesado el 10/04/23, se fijaba de forma motivada los hechos que se consideren
probados y su exacta calificación jurídica en el apartado ?HECHOS PROBADOS? Y en
el FD II de contestación a las alegaciones se indicaba lo siguiente:
En el punto a).- Sobre los presuntos conflictos de intereses del Delegado de
Protección de Datos (DPD) en la persona del ***PUESTO.1 del Colegio Oficial de
Arquitectos de Granada.
Se determinaba la infracción:
Por tanto, atendiendo a las funciones que, según el RGPD corresponden al
DPD y las funciones que, según la Orden de 20 de febrero de 2018, por la que
se aprueba la modificación de los Estatutos del Colegio Oficial de Arquitectos
de Granada, corresponden a la Junta de Gobierno y a la Comisión Permanente
del Colegio Oficial de Arquitectos de Granada, además de las propias del cargo
de ***PUESTO.1, es evidente la existencia de un conflicto de intereses por
parte del ***PUESTO.1 del Colegio Oficial de Arquitecto de Granada para
actuar como DPD de dicho Organismo, encontrándonos ante la vulneración del
artículo 38.6) del RGPD.
Se identificaba al responsable y la sanción que se proponía:
?PRIMERO: Que por la Directora de la Agencia Española de Protección de
Datos se sancione al COLEGIO OFICIAL DE ARQUITECTOS DE GRANADA,
titular de la página web, https://www.coagranada.es/, por:
Infracción del artículo 38.6 del RGPD, por el conflicto de intereses detectado en
el nombramiento del ***PUESTO.1 del Colegio como Delegado de Protección
de datos, con una sanción de 5.000 euros (cinco mil euros) (?)
Conforme a las previsiones del RGPD se valoró la cuantía de la multa en 5.000 euros,
que se encuentra en el tramo inferior de las sanciones posibles, dando así
cumplimiento a lo dispuesto en el artículo 83.1 del RGPD: ?Cada autoridad de control
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/60
garantizará que la imposición de las multas administrativas con arreglo al presente
artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y
6 sean en cada caso individual, efectivas, proporcionadas y disuasorias.?
Por otro lado, el artículo 83.2 del RGPD señala que ?las multas administrativas se
impondrán, en función de las circunstancias de cada caso individual, a título adicional
o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y
j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso
individual se tendrá debidamente en cuenta:? (el subrayado es nuestro).
Esto es, prevé la valoración de la sanción en su conjunto atendiendo a todas y cada
una de las circunstancias concurrentes en el caso concreto y que se encuentran
previstas en el precitado precepto.
En esta misma línea se pronuncia la jurisprudencia cuando se refiere al principio de
proporcionalidad, principio ?fundamental que late y preside el proceso de graduación
de las sanciones e implica, en términos legales, "su adecuación a la gravedad del
hecho constitutivo de la infracción" como dispone el artículo 29.3 de la Ley 40/2015,
de Régimen Jurídico del Sector Público, dado que toda sanción debe determinarse en
congruencia con la entidad de la infracción cometida y según un criterio de
proporcionalidad en relación con las circunstancias del hecho.? (Sentencias del
Tribunal Supremo de 3 de diciembre de 2008 (rec. 6602/2004) y 12 de abril de 2012
(rec. 5149/2009) y Sentencia de la Audiencia Nacional de 5 de mayo de 2021 (rec.
1437/2020), entre otras).
Así, la Sentencia de la Sala Tercera del Tribunal Supremo, de fecha 27 de mayo de
2003 (rec. 3725/1999), indica que ?La proporcionalidad, perteneciente específicamente
al ámbito de la sanción, constituye uno de los principios que rigen en el Derecho
Administrativo sancionador, y representa un instrumento de control del ejercicio de la
potestad sancionadora por la Administración dentro, incluso, de los márgenes que, en
principio, señala la norma aplicable para tal ejercicio. Supone ciertamente un concepto
difícilmente determinable a priori, pero que tiende a adecuar la sanción, al establecer
su graduación concreta dentro de los indicados márgenes posibles, a la gravedad del
hecho constitutivo de la infracción, tanto en su vertiente de la antijuridicidad como de
la culpabilidad, ponderando en su conjunto las circunstancias objetivas y subjetivas
que integran el presupuesto de hecho sancionable (?)?
También podemos citar al efecto la Sentencia del Tribunal Supremo 713/2019, de 29
de mayo (rec. 1857/2018): ?Comenzaremos señalando que la proporcionalidad de las
sanciones implica que las mismas vengan atemperadas a la particularizada gravedad
del hecho en la conjunción de las circunstancias de índole subjetivo (que remiten al
infractor) y objetivo (que remiten al hecho típico) siendo que en el campo del derecho
administrativo sancionador en general y en el ámbito del mercado de valores en
particular, no existe unos criterios de dosimetría similares a los recogidos en el artículo
66 del CP y que las circunstancias modificativas difieren de las propias del ámbito
penal. Recordemos que no cabe la aplicación automática, sin matización alguna de los
principios informadores del derecho penal al procedimiento administrativo sancionador
(S.TS 6-10-2003 Rec.772/1998).?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/60
Por ello las Directrices 04/2022 del Comité Europeo de Protección de Datos sobre el
cálculo de las multas administrativas con arreglo al RGPD, en su versión de 12 de
mayo de 2022, sometidas a consulta pública, indican que ?Por lo que se refiere a la
evaluación de estos elementos, los aumentos o disminuciones de una multa no
pueden determinarse previamente a través de cuadros o porcentajes. Se reitera que la
cuantificación real de la multa dependerá de todos los elementos recogidos durante la
investigación y de otras consideraciones relacionadas también con las experiencias
anteriores de la autoridad de control en materia de multas.?
En el punto b).- Sobre la presunta falta de información en los formularios sobre ?quejas
y reclamaciones?, referente al tratamiento de los datos personales obtenidos en los
mismos.
Se determinaba la infracción:
?Por lo que es evidente que, los formularios carecían de la información necesaria
establecida en el artículo 13 RGPD, como, por ejemplo, la identidad y los
datos de contacto del responsable, los fines del tratamiento a que se destinan
los datos personales y la base jurídica del tratamiento; los posibles destinatarios
o las categorías de destinatarios de los datos personales, en su caso; el
plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo o el derecho a presentar
una reclamación ante una autoridad de control, por lo que incumplían lo
estipulado en la normativa vigente en materia de protección de datos
Se identificaba al responsable y la sanción que se proponía:
?PRIMERO: Que por la Directora de la Agencia Española de Protección de
Datos se sancione al COLEGIO OFICIAL DE ARQUITECTOS DE GRANADA,
titular de la página web, https://www.coagranada.es/, por:
(?) Infracción del artículo 13 del RGPD, por la falta de información
suministrada en las hojas de reclamaciones, sobre el tratamiento de los datos
personales obtenidos, (con una sanción de 8.000 euros) (?)
Conforme a las previsiones del RGPD se valoró la cuantía de la multa en 5.000 euros,
que se encuentra en el tramo inferior de las sanciones posibles, dando así
cumplimiento a lo dispuesto en el artículo 83.1 del RGPD: ?Cada autoridad de control
garantizará que la imposición de las multas administrativas con arreglo al presente
artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y
6 sean en cada caso individual, efectivas, proporcionadas y disuasorias.?
Nos reiteramos en las consideraciones dispuestas en el apartado anterior en relación
con la determinación del importe de la multa.
En el punto c).- Sobre el tratamiento de los datos personales y la ?Política de
Privacidad? de la web: https://www.coagranada.es/ cuyo titular es el Colegio Oficial de
Arquitectos de Granada:
Se determinaba la falta de infracción:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/60
?Por tanto, en el presente caso, con arreglo a las evidencias que se disponen
en este momento, se considera que la gestión de los datos personales que
realiza la página web, https://www.coagranada.es/ no se contradice con lo
estipulado en el RGPD respecto al consentimiento en el tratamiento de los
datos personales y a la información que se debe proporcionar al interesado
cuando se obtienen de él, sus datos personales?.
En el punto d).- Sobre la Política de Cookies de la página web
https://www.coagranada.es/.
Se determina la infracción:
?Por tanto, la utilización de cookies de terceros de terceros de carácter no
exceptuado, de las que no se informa en las políticas y a pesar de no haber
dado el consentimiento a través del banner podrían suponer por parte del
reclamado, la comisión de la infracción del artículo 22.2 de la LSSI
Se identificaba al responsable y la sanción que se proponía:
?PRIMERO: Que por la Directora de la Agencia Española de Protección de
Datos se sancione al COLEGIO OFICIAL DE ARQUITECTOS DE GRANADA,
titular de la página web, https://www.coagranada.es/, por:
(?) Infracción del artículo 22.2 de la LSSI, respecto a la utilización de cookies
de terceros de carácter no exceptuado, sin el consentimiento del usuario., con
una sanción de 1.000 euros (mil euros).
La multa a imponer se ha determinado en aplicación de las previsiones determinadas
en la LSSI.
e).- Sobre las alegaciones presentadas como consecuencia del archivo en el
exp202101340 y el cambio de criterio en el presente expediente.
Según alega la parte reclamada, con fecha 08/07/21, el reclamante presentó escrito de
ante esta Agencia, en el mismo sentido que la presente reclamación, indicando, entre
otras, que :
?(?) Tal es el desconocimiento en materia de PD por parte de este Colegio,
que según acreditan estos por sus manifestaciones, el ***PUESTO.1 ostenta el
título de DPD y Responsable del tratamiento de datos personales al mismo
tiempo. Según queda acreditado por el texto que acompaña a la hoja de
reclamaciones de este Colegio, (?)?
Pues bien, esta reclamación fue archivada mediante Resolución de la AEPD de fecha
de 11/11/21 en el expediente E/08892/2021, indicando en la misma que:
?(?) Una vez analizadas las razones expuestas por COLEGIO OFICIAL DE
ARQUITECTOS DE GRANADA, que obran en el expediente, se ha constatado
la falta de indicios racionales de la existencia de una infracción en el ámbito
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/60
competencial de la Agencia Española de Protección de Datos, no procediendo,
en consecuencia, la apertura de un procedimiento sancionador.
Con fecha 23/11/21, el reclamante presentó recurso de reposición (RR/0731/21),
contra la resolución dictada por la Directora de la Agencia Española de Protección de
Datos, en el que, entre otras, indicaba que se ?aclare por parte de la AEPD si el DPD y
el ***PUESTO.1 de COAG pueden ser la misma persona?.
Con fecha 04/04/22, por parte de esta Agencia se dicta resolución al recurso de
reposición RR/0731/21, indicando en la misma, respecto de la cuestión manifestada
por el reclamante, en relación a la duplicidad de cargos, DPD y ***PUESTO.1 del
COAG, lo siguiente:
?Sobre la designación como delegado de protección de datos en la misma
persona que ostenta el cargo de ***PUESTO.1 general, debe señalarse que la
parte recurrente no puede pretender que en fase de recurso se tengan en
cuenta hechos que no manifestó en una fase procedimental anterior.
La LPACAP dispone en su artículo 118: ?No se tendrán en cuenta en la
resolución de los recursos, hechos, documentos o alegaciones del recurrente,
cuando habiendo podido aportarlos en el trámite de alegaciones no lo haya
hecho. Tampoco podrá solicitarse la práctica de pruebas cuando su falta de
realización en el procedimiento en el que se dictó la resolución recurrida fuera
imputable al interesado.?
Esta norma contiene una regla que no es más que la concreción positiva para
el ámbito administrativo común del principio general de que la Ley no ampara el
abuso del derecho (artículo 7.2 del Código Civil), en este caso, el abuso del
derecho procesal. Qué duda cabe que dicho principio tiene por finalidad impedir
que resulte inútil el trámite de alegaciones y pruebas de los procedimientos de
aplicación, como así resultaría si los interesados pudieran elegir, a su arbitrio,
el momento en el que presentar pruebas y alegaciones, por cuanto que ello
sería contrario a un elemental orden procesal.
La parte reclamada ha informado que la persona designada como delegado de
protección de datos ostenta las competencias y tiene los conocimientos
requeridos para el desempeño de dicho cargo, añadiendo que cuentan con la
colaboración de profesionales externos expertos en la materia?.
Por tanto, no ha existido un cambio de criterio de la administración, sino que, en los
casos expuestos, el motivo por el que se archivaron fue porque no había prueba
suficiente para la imputación de una infracción. De hecho, así se expone en la
resolución de inadmisión, que se aplica el principio de presunción de inocencia y que,
al no tener pruebas suficientes del incumplimiento, se procede a archivar la
reclamación. En ese mismo sentido se pronuncia la resolución del recurso de
reposición, en particular en relación con ese incumplimiento lo que dice es que en fase
de recurso no se pueden tener en cuenta hechos distintos a los valorados a lo largo
del procedimiento. Ello no obsta para que pueda presentarse una nueva reclamación
en la que se puedan acreditar aspectos por el reclamante que pongan de manifiesto la
existencia de una infracción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/60
f).- Sobre la Política de Cookies de la página web https://www.coagranada.es/.
Con fecha 27/07/22, se pudo constatar que al entrar en la página web del Colegio
Oficial de Arquitectos de Granada https://www.coagranada.es/ se instalaba una cookie
de sesión PHPSESSID y otra de Google, _GRECAPTCHA. La primera es una cookie
técnica y la segunda es utilizada por las webs desarrolladas con WordPress como la
que es objeto del análisis, para proteger los formularios web de spam y ataques
externos.
Según el Dictamen 4/2012 del WP 194 sobre la exención del requisito de
consentimiento de cookies, la exención aplicada a las cookies de autenticación podría
aplicarse a otras introducidas específicamente para reforzar la seguridad del servicio
solicitado, por ejemplo, aquellas cookies cuya finalidad es la de detectar intentos
erróneos y reiterados de conexión a un sitio web o para protección del sistema de
conexión frente a abusos como es el caso de _GRECAPTCHA.
Sin embargo, tras la navegación por el sitio web, se observa que se instalan cookies
de terceros de carácter no exceptuado, de las que no se informa en las políticas, a
pesar de no haber dado el consentimiento a través del banner. Se da la circunstancia
de que estas cookies analíticas se instalan a través de la inserción de un mapa
interactivo del Instituto para la Salud Geoambiental de la Fundación Vivo Sano en la
página: https://coagranada.es/mapa-zonas-radon-en-elnuevo-cte-db-hs6/
Por tanto, existió una clara vulneración de la normativa vigente (LSSI) al no informar a
los usuarios de la web de la instalación de cookies de terceros de carácter no
exceptuado.
III.-
Infracción cometida y Sanción a imponer
Sobre los presuntos conflictos de intereses del Delegado de Protección de Datos
(DPD) en la persona del ***PUESTO.1 del Colegio Oficial de Arquitectos de Granada.
De conformidad con las evidencias de las que se dispone, expuestas en el apartado a)
de DF II, se considera existe vulneración del artículo 38.6) del RGPD.
Esta infracción puede ser sancionada con multa de 10.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.4.a) RGPD.
Por su parte, el artículo 73.w) LOPDGDD, considera grave, a efectos de prescripción:
?No posibilitar la efectiva participación del delegado de protección de datos en
todas las cuestiones relativas a la protección de datos personales, no
respaldarlo o interferir en el desempeño de sus funciones?.
De acuerdo con los preceptos indicados, a efectos de fijar el importe de la sanción a
imponer en el presente caso, se considera que procede graduar la sanción de acuerdo
con los siguientes criterios agravantes que establece el artículo 83.2 del RGPD:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/60
- El número de interesados afectados por el tratamiento de sus datos personales
(apartado a), al tener presente la vinculación que el Colegio de Arquitectos de
Granada tiene con los colegiados inscritos, el personal contratado y con los
usuarios en general.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando el nivel de implantación del
Colegio en la comunidad, en la que se ven implicados datos personales de
cientos personas que acceden a sus servicios.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2
LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el
artículo 38.6 RGPD, permite fijar una sanción final de 5.000 euros (cinco mil euros).
Por otra parte, no procede requerir medida correctiva al haberse sustituido el DPD del
Colegio Oficial de Arquitectos de Granada en otra persona que no es el ***PUESTO.1
del mismo.
IV.-
Infracción cometida y Sanción a imponer
Sobre la presunta falta de información en los formularios sobre ?quejas y
reclamaciones?, referente al tratamiento de los datos personales obtenidos en los
mismos.
De conformidad con las evidencias de las que se dispone, expuestas en el apartado b)
de DF II, se considera existe vulneración del artículo 13) del RGPD
Esta infracción puede ser sancionada según lo establecido en el artículo 83.5.b) del
RGPD, donde se establece que:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4 %
como máximo del volumen de negocio total anual global del ejercicio financiero
anterior, optándose por la de mayor cuantía: a) los derechos de los interesados
a tenor de los artículos 12 a 22?.
En este sentido, el artículo 74.a) de la LOPDGDD, considera leve, a efectos de
prescripción:
?El incumplimiento del principio de transparencia de la información o el derecho
de información del afectado por no facilitar toda la información exigida por los
artículos 13 y 14 del Reglamento (UE) 2016/679.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/60
De acuerdo con los preceptos indicados, a efectos de fijar el importe de la sanción a
imponer en el presente caso, se considera que procede graduar la sanción de acuerdo
con los siguientes criterios agravantes que establece el artículo 83.2 del RGPD:
- El número de interesados afectados por el tratamiento de sus datos personales
(apartado a), al tener presente la vinculación que el Colegio de Arquitectos de
Granada tiene con los colegiados inscritos, el personal contratado y con los
usuarios en general.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando el nivel de implantación del
Colegio en la comunidad, en la que se ven implicados datos personales de
cientos personas que acceden a sus servicios.
El balance de las circunstancias contempladas en el artículo 83.5.b) del RGPD, con
respecto a la infracción cometida al vulnerar lo establecido en el artículo 13 RGPD,
permite fijar una sanción final de 8.000 euros (ocho mil euros).
Por otra parte, no procede requerir medida correctiva al haberse comprobado la
sustitución de la información suministrada en los modelos de ?quejas y reclamaciones?
ajustándole a lo establecido en el artículo 13 del RGPD.
V .-
Infracción cometida y Sanción a imponer
Sobre la Política de Cookies de la página web https://www.coagranada.es/ .
El artículo 22.2 de la LSSI establece que se debe facilitar a los usuarios información
clara y completa sobre la utilización de los dispositivos de almacenamiento y
recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.
Esta información debe facilitarse con arreglo a lo dispuesto el RGPD.
Por tanto, cuando la utilización de una cookie conlleve un tratamiento que posibilite la
identificación del usuario, los responsables del tratamiento deberán asegurarse del
cumplimiento de las exigencias establecidas por la normativa sobre protección de
datos.
No obstante, es necesario señalar que quedan exceptuadas del cumplimiento de las
obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias
para la intercomunicación de los terminales y la red y aquellas que prestan un servicio
expresamente solicitado por el usuario.
En este sentido, el GT29, en su Dictamen 4/2012, interpretó que entre las cookies
exceptuadas estarían las Cookies de entrada del usuario? (aquellas utilizadas para
rellenar formularios, o como gestión de una cesta de la compra); cookies de
autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario
(aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/60
web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar
la carga; cookies de personalización de la interfaz de usuario y algunas de
complemento (plug-in) para intercambiar contenidos sociales.
Estas cookies quedarían excluidas del ámbito de aplicación del artículo 22.2 de la
LSSI, y, por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su
uso. Por el contrario, será necesario informar y obtener el consentimiento previo del
usuario antes de la utilización de cualquier otro tipo de cookies, tanto de primera como
de tercera parte, de sesión o persistentes.
En el presente caso, al entrar en la web por primera vez, sin aceptar cookies ni realizar
ninguna acción sobre la página, se ha comprobado que se no se utilizan cookies que
no sean técnicas o necesarias.
Sin embargo, tras la navegación por el sitio web, se observa que se utilizan cookies de
terceros de carácter no exceptuado, de las que no se informa en las políticas, a pesar
de no haber dado el consentimiento a través del banner. Se da la circunstancia de que
estas cookies analíticas se instalan a través de la inserción de un mapa interactivo del
Instituto para la Salud Geoambiental de la Fundación Vivo Sano en la página:
https://coagranada.es/mapa-zonas-radon-en-elnuevo-cte-db-hs6/
Por tanto, la utilización de cookies de terceros de terceros de carácter no exceptuado,
de las que no se informa en las políticas y a pesar de no haber dado el consentimiento
a través del banner podrían suponer por parte del reclamado, la comisión de la
infracción del artículo 22.2 de la LSSI, pues establece que:
?Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición
de que los mismos hayan dado su consentimiento después de que se les haya
facilitado información clara y completa sobre su utilización, en particular, sobre
los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario
para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los
parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica
al solo fin de efectuar la transmisión de una comunicación por una red de
comunicaciones electrónicas o, en la medida que resulte estrictamente
necesario, para la prestación de un servicio de la sociedad de la información
expresamente solicitado por el destinatario?.
Esta Infracción está tipificada como ?leve? en el artículo 38.4 g), de la citada Ley, que
considera como tal: ?Utilizar dispositivos de almacenamiento y recuperación de datos
cuando no se hubiera facilitado la información u obtenido el consentimiento del
destinatario del servicio en los términos exigidos por el artículo 22.2.?, pudiendo ser
sancionada con multa de hasta 30.000 ?, de acuerdo con el artículo 39 de la citada
LSSI.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/60
Con arreglo a dichos criterios, se estima adecuado imponer una sanción de 1.000
euros, (mil euros), por la infracción del artículo 22.2 de la LSSI, por el tiempo que se
mantuvo la utilización de cookies no exceptuadas sin el consentimiento previo del
usuario
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: IMPONER al COLEGIO OFICIAL DE ARQUITECTOS DE GRANADA, con
CIF.: Q1875003D, titular de la página web, https://www.coagranada.es/ , las siguientes
sanciones:
- Por infracción del artículo 38.6 del RGPD, por el conflicto de intereses
detectado en el nombramiento del ***PUESTO.1 del Colegio como Delegado
de Protección de datos una sanción de 5.000 euros (cinco mil euros).
- Por la infracción del artículo 13 del RGPD, por la falta de información
suministrada en las hojas de reclamaciones, sobre el tratamiento de los datos
personales obtenidos, una sanción de 8.000 euros (ocho mil euros).
- Por la infracción del artículo 22.2 de la LSSI, respecto a la utilización de
cookies de terceros de carácter no exceptuado, sin el consentimiento del
usuario, una sanción de 1 .000 euros (mil euros).
Siendo la sanción total de 14.000 euros (catorce mil euros).
SEGUNDO: NOTIFICAR la presente resolución al COLEGIO OFICIAL DE
ARQUITECTOS DE GRANADA.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva
una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el
artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el
artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto
939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida Nº ES00 0000 0000 0000
0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el
Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en
período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/60
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.6 de la
LOPDGDD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición ante la Directora de la Agencia Española de Protección de Datos
en el plazo de un mes a contar desde el día siguiente a la notificación de esta
resolución o directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de
13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de
dos meses a contar desde el día siguiente a la notificación de este acto, según lo
previsto en el artículo 46.1 del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas, se podrá suspender cautelarmente la resolución firme en vía administrativa si
el interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es