ANTECEDENTES
PRIMERO: D. A.A.A. (en adelante, la parte reclamante) con fecha 10 de mayo de 2022 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra el AYUNTAMIENTO DE SANTIAGO DE COMPOSTELA con NIF P1507900G (en adelante, la parte reclamada). Los motivos en que basa la reclamación son los siguientes:
Que el 10 de mayo de 2022 ha recibido una carta no certificada sin sobre remitida por la parte reclamada. La carta venía doblada de tal manera que todas las personas por las que ha pasado han podido ver los datos personales de la parte reclamante que figuraban en el reverso de la carta, en concreto su D.N.I., nombre y apellidos, domicilio, matrícula de su coche, marca y modelo de su coche, así como que la carta es una denuncia por exceso de velocidaD.
Adjunta copia de la carta abierta así como de la carta doblada tal cual la recibió. En este último caso se ve:
- En el reverso: Fecha y hora de la denuncia; clase de vehículo; matrícula, marca y modelo del vehículo; nombre, apellidos, domicilio y D.N.I. del reclamante; hechos denunciados y el importe de la sanción.
- En el anverso: Logo del Concello de Santiago, la dirección de la Oficina de Gestión de Multas, código de barras, que se trata de un "requerimiento de identificación de conductor" y nombre, apellidos y dirección del reclamante como destinatario de la carta.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (en adelante LOPDGDD (LA LEY 19303/2018)), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015) (en adelante, LPACAP (LA LEY 15010/2015)), fue recogido en fecha 10 de junio de 2022, como consta en el acuse de recibo que obra en el expediente.
Al no haberse recibido respuesta a este escrito de traslado, se reiteró el mismo, el cual fue notificado conforme a las normas establecidas en la LPACAP (LA LEY 15010/2015), el 8 de agosto de 2022, como consta en el acuse de recibo que obra en el expediente.
CUARTO: Con fecha 19 de septiembre de 2022 se recibió en esta Agencia escrito de la parte reclamada dando respuesta al traslado de la reclamación, en el que indica:
"En los procedimientos sancionadores en materia de tráfico, la primera comunicación que se hace a la persona interesada, en supuestos de infracciones leves y graves, sin retirada de puntos, se lleva a cabo mediante la remisión al presunto infractor de una carta ordinara con "Franqueo Pagado", a través del operador postal Correos.
En dicha carta únicamente constan los datos mínimos adecuados y pertinentes para la tramitación de los expedientes sancionadores en materia de tráfico.
Estos datos que aparecen en la parte visible de la carta ordinaria o en las notificaciones envíadas son siempre, los necesarios e imprescindibles para que puedan practicarse estas notificaciones: nombre, apellidos, domicilio del presunto infractor y referencia al expediente administrativo.
En ningún caso consta en el documento ni la matrícula, ni el documento oficial de identificación, ni la infracción cometida. En consecuencia, los datos que se recogen son aquellos que se precisan para poder practicar adecuadamente la entrega y recepción, por parte del Servicio de Correos, a la persona destinataria de la notificación.
El formato de carta ordinaria está debidamente maquetado, doblado y plegado para que únicamente sean visibles los siguientes datos:
- Logo Concello de Santiago de Compostela.
- Dirección Oficina de Xestión de Multas.
- Clave: ND - Código de barras (ráfaga de números)
- Apellido y nombre de la persona destinataria.
- Dirección de la persona destinataria.
(...)
Tanto las cartas ordinarias como las notificaciones, van debidamente plegadas y selladas, para que se pueda acceder al contenido de las mismas.
Por lo tanto, si cualquier persona que no es la destinataria de la notificación accede a su contenido, estaría vulnerando el deber de secreto. Ya que la garantía de confidencialidad está preservada, por el mismo formato del documento, al que no se puede acceder sino es abriendo la carta o el sobre."
Adjunta copia del modelo de remisión de tal documento, en el que se ve:
- En el reverso: Un cuadro en el que se indica que el cartero señale con una "X" la causa de la devolución (desconocido, rehusado, ausente, dirección incorrecta, otros motivos).
- En el anverso: Logo del Concello de Santiago, la dirección de la Oficina de Gestión de Multas, clave ND, código de barras y un cuadro dentro del cual figura "destinatario".
SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP (LA LEY 15010/2015), la parte reclamada presentó escrito de alegaciones en el que, en síntesis, manifestaba que "no se considera que se haya incumplido el artículo 32 del RGPD (LA LEY 6637/2016), tipificada en el artículo 83.4 de dicha norma legal, puesto que el Ayuntamiento ha adoptado las medidas técnicas y organizativas que resultan, a su juicio, apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos legalmente establecidos y por lo tanto, se estima no procede imponer sanción alguna."
Indica que el documento modelo que utiliza para la notificación de un requerimiento de identificación de conductor "se compone de cuatro partes que se envían al destinatario debidamente plegadas y engomados sus bordes. de tal manera que, tanto el anverso como el reverso se corresponde a lo que sería el sobre y aviso de recibo, partes que únicamente contienen datos necesarios para su entrega y recepción a través del servicio de Correos:
SOBRE DE DENUNCIA (Color Blanco)
Logo Ayuntamiento-Departamento que envía la notificación
Destinatario: Nombre y apellidos
Dirección destinatario
Franqueo Pagado
Requerimiento de Identificación de Conductor
(...)
Los datos personales forman parte del contenido de la notificación, lugar infracción, día y hora de la infracción, nombre apellidos del titular del vehículo denunciado, matrícula marca y modelo del vehículo denunciado, etc, solamente forman parte del documento "no visible", es decir, esa parte de la notificación no es accesible, de tal manera que, para poder acceder a dicho contenido es necesario desplegar el sobre o romper los extremos del mismo, que como ya se han expuesto, están perfectamente engomados."
Señala que "Los datos que aparecen en la parte visible tanto de las cartas ordinarias como de las notificaciones son los mínimos necesarios e imprescindibles para que pueda practicarse la misma: nombre, apellidos, domicilio y referencia del expediente administrativo y no consta ningún otro datos que pueda revelar a terceros una condición desfavorable del destinatario y, en este sentido, es como opera en todo caso esta administración.
(...)
En ningún caso, se puede acceder al contenido de datos como la matrícula del vehículo, el DNI, los hechos denunciados o el importe de la sanción si la carta no se rasga por los extremos o se despega."
Manifiesta que "el interesado en su reclamación confirma que la carta había sido abierta y por tanto, cualquier persona podía acceder al contenido de la misma, esta circunstancia puede producirse tanto en el formato de envío que remite el ayuntamiento (carta plegada y engomada) como en el de un sobre certificado; puesto que las etiquetas de certificado se suelen despegar con facilidad y cualquiera puede abrir el sobre y acceder a su contenido.". Señalando posteriormente que "se desconoce que es lo que ha podido acontecer en este caso concreto, para que el reclamante hubiese recibido la carta abierta y con sus datos de identificación a la vista."
Expresa que "No se pone en duda que, en este caso concreto, se haya podido producir un incidente que ha afectado a la seguridad de esta notificación, pero tal y como se ha manifestado anteriormente, es la primera vez que se denuncia a esta administración por un incumplimiento de este tipo y se considera que las medidas de seguridad son adecuadas y proporcionadas al riesgo."
Considera que esta excepcionalidad "tendría que analizarse más detalladamente para determinar cual ha sido, en el caso concreto, lo que ha determinado que la carta hubiese sido recibida por el destinatario abierta."
SÉPTIMO: Con fecha 1 de febrero de 2023 la instructora acordó abrir una fase de práctica de prueba consistente en:
1.- Incorporar al expediente, a efectos de prueba, la reclamación que dio origen al procedimiento sancionador y su documentación anexa; los documentos obtenidos y generados durante la fase de admisión a trámite de la reclamación y las alegaciones al acuerdo de inicio del PS/00477/2022 presentadas por la parte reclamada.
2.- Requerir a la parte reclamada el aviso de recibo de color rosa relativo a la notificación de requerimiento de identificación de conductor del Exp. XXXX/XXXXX.
3.- Solicitar a la parte reclamante que indicara el medio por el que recibió el 10 de mayo de 2022 el documento de la parte reclamada que ha dado lugar al presente procedimiento sancionador (personalmente por un funcionario de Correos, en el buzón, en una oficina de Correos, se la entregó una tercera persona).
El requerimiento a la parte reclamada y la solicitud de información a la parte reclamante se practicaron conforme a las normas establecidas en la LPACAP (LA LEY 15010/2015).
No se ha recibido respuesta ni al mencionado requerimiento ni a la citada solicitud de información.
Con fecha 21 de febrero de 2023, la instructora del procedimiento acordó practicar nueva diligencia de prueba ante la parte reclamada consistente en requerimiento de:
- Envío del aviso de recibo de color rosa relativo a la notificación de requerimiento de identificación de conductor del Exp. XXXX/XXXXX.
- Indicación relativa a si los requerimientos de identificación del conductor que se notifican postalmente se remiten en sobres cerrados o son documentos plegados y engomados. En este último caso:
a) Remisión de copia de un documento modelo.
b) Indicación de qué contenido sería visible una vez despegado el aviso de color rosa.
Con fecha 28 de febrero de 2023 se recibió respuesta de la parte reclamada a la segunda solicitud de prueba, en la que informa lo siguiente:
"Los requerimientos de identificación de conductor que se notifican postalmente se remiten en documentos debidamente plegados y engomados, en un tipo de papel que llamamos de cuatro palas (una de ellas de color rosa). Las dimensiones del papel son: alto 41,6 cm, ancho 21,4 cm, siendo el ancho de cada pala 10,4 cm, plegado en cuatro partes.
Una vez despegado el aviso de color rosa, no se vería ningún dato relativo al requerimiento, tal y como se puede comprobar en el documento modelo actual y, en las fotografías que, como ejemplo de plegado, acompañarán a este informe."
Adjunta al informe la siguiente documentación:
- Aviso de recibo de color rosa relativo a la notificación de requerimiento de identificación del conductor del expediente XXXX/XXXXX, en el que se observa que la notificación fue entregada en el domicilio postal del reclamante, por un funcionario de Correos, el 10 de mayo de 2022 y recogida por D. B.B.B., abuelo de la parte reclamante.
- Documento modelo actual de requerimiento abierto.
- Tres fotografías del modelo actual de requerimiento:
a) Una relativa al "ejemplo de plegado", en el que se ve que el documento de requerimiento de identificación de conductor se pliega en cuatro partes, entre las que se distingue la relativa al anverso del documento.
b) Otra relativa al anverso del requerimiento, en el que se ve: El logo del Concello de Santiago, la dirección de la Oficina de Gestión de Multas, código de barras, que se trata de un "requerimiento de identificación de conductor" y un cuadro para poner los datos del reclamante como destinatario de la carta.
c) Y otra relativa al reverso del requerimiento, que se corresponde con el recibo de color rosa relativo a la notificación de requerimiento de identificación.
NOVENO: Notificada la propuesta de resolución conforme a las normas establecidas en la LPACAP (LA LEY 15010/2015), la parte reclamada presentó escrito de alegaciones el 17 de abril de 2023 en el que, en síntesis, manifestaba que:
1.- "Esta Administración acepta la sanción propuesta; no obstante reitera que el medio utilizado para realizar la notificación era el adecuado, una vez ponderado el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento; así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, ya que la única manera de poder acceder a los datos personales identificativo del interesado o del procedimiento era una vez extraído el papel rosa de certificado, circunstancia que, en condiciones normales realiza el funcionario de correos una vez que entrega el documento al interesado, para que firme el recibí o bien, por cualquier persona, previa identificación, que se encuentre en el domicilio del interesado.
En consecuencia, entendemos que no se ha producido una falta de diligencia mínima por parte del responsable del tratamiento al permitir la exhibición de los datos a terceros ajenos al interesado.
El funcionario de Correos que traslada la notificación, solamente en este momento, una vez que se despega el papel rosa y lo entrega para la firma, podría acceder a los datos personales del interesado; no obstante, estas personas están vinculadas por el compromiso de confidencialidad, por lo que no pueden difundir la información a la que podrían acceder por la entrega de envíos a través del operador público.
El resto de personas que podrían tener acceso a esta información son las que residen en el domicilio del interesado, previa acreditación de este extremo, por lo que puede presuponerse que estas personas no van a realizar un mal uso de la misma.
Además, es importante tener en cuenta que si el reclamante no quisiera que, la persona residente o que se halle circunstancialmente en el domicilio, tenga acceso a sus datos personales, no posibilitaría que los mismo recogiesen el envío, puesto que no es obligatoria la recepción de la notificación por la persona a la que no va destinada, ni siquiera por el propio destinatario, artículo 41 de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015)."
2.- Por otro lado, se refiere al documento que ha remitido "con anterioridad a la incoación de este expediente" "en el formato que se describe en la propuesta de resolución, punto II de los Fundamentos de Derecho", el cual no deja expuestos datos de identificación del destinatario del documento una vez que se retira el aviso de recibo justificativo de la práctica de la notificación.
De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: Consta acreditado que con fecha 10 de mayo de 2022 la parte reclamada notificó, a través de un funcionario de Correos, un requerimiento de identificación de conductor a la parte reclamante, notificación que fue recogida, en el domicilio postal de la parte reclamante, por el abuelo de ésta.
En el anverso del requerimiento enviado a la parte reclamante, cuando éste está doblado y cerrado, se ve lo siguiente: Logo del Concello de Santiago, la dirección de la Oficina de Gestión de Multas, código de barras, que se trata de un "requerimiento de identificación de conductor" y nombre, apellidos y dirección del reclamante como destinatario de la carta.
En el reverso del requerimiento enviado a la parte reclamante, cuando éste está doblado y cerrado, y una vez retirado el aviso de recibo de color rosa relativo a la notificación, se ve: Fecha y hora de la denuncia; clase de vehículo; matrícula, marca y modelo del vehículo; nombre, apellidos, domicilio y D.N.I. del reclamante; hechos denunciados y el importe de la sanción.
Una vez abierto y desplegado el requerimiento enviado a la parte reclamante, se observa que se trata de un documento plegado en tres partes.
SEGUNDO: La parte reclamante ha interpuesto reclamación ante la AEPD denunciando que ese mismo día había "recibido una carta no certificada sin sobre" remitida por la parte reclamada. Indica que la carta "venía doblada de tal manera que todas las personas por las que ha pasado han podido ver mis datos personales, que figuran en el reverso de la misma. Datos como: D.N.I., NOMBRE Y APELLIDOS, MARCA Y MODELO DEL COCHE... ASÍ COMO HAN PODIDO VER QUE LA CARTA ES UNA DENUNCIA POR EXCESO DE VELOCIDAD."
Adjunta copia de la carta abierta así como de la carta doblada tal cual la recibió. TERCERO: Consta acreditado que, desde que la parte reclamada dio contestación a la segunda solicitud de prueba recabada en este procedimiento, el requerimiento de identificación del conductor que envía ésta tiene las siguientes características:
- Se trata de un documento debidamente plegado en cuatro partes y engomado.
- Que en el anverso del requerimiento, cuando éste está doblado y cerrado, se ve lo siguiente: Logo del Concello de Santiago, la dirección de la Oficina de Gestión de Multas, código de barras, que se trata de un "requerimiento de identificación de conductor" y nombre, apellidos y dirección del reclamante como destinatario de la carta.
- El reverso del requerimiento, cuando éste está doblado y cerrado, se corresponde con el recibo de color rosa relativo a la notificación de requerimiento de identificación.
FUNDAMENTOS DE DERECHO
II Señala la parte reclamada en su escrito de alegaciones al acuerdo de inicio que "no se considera que se haya incumplido el artículo 32 del RGPD (LA LEY 6637/2016), tipificada en el artículo 83.4 de dicha norma legal, puesto que el Ayuntamiento ha adoptado las medidas técnicas y organizativas que resultan, a su juicio, apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos legalmente establecidos y por lo tanto, se estima no procede imponer sanción alguna."
Asimismo indica que el documento modelo que utiliza para la notificación de un requerimiento de identificación de conductor "se compone de cuatro partes que se envían al destinatario debidamente plegadas y engomados sus bordes. de tal manera que, tanto el anverso como el reverso se corresponde a lo que sería el sobre y aviso de recibo, partes que únicamente contienen datos necesarios para su entrega y recepción a través del servicio de Correos:
SOBRE DE DENUNCIA (Color Blanco)
Logo Ayuntamiento-Departamento que envía la notificación
Destinatario: Nombre y apellidos
Dirección destinatario
Franqueo Pagado
Requerimiento de Identificación de Conductor
(...)
Los datos personales forman parte del contenido de la notificación, lugar infracción, día y hora de la infracción, nombre apellidos del titular del vehículo denunciado, matrícula marca y modelo del vehículo denunciado, etc, solamente forman parte del documento "no visible", es decir, esa parte de la notificación no es accesible, de tal manera que, para poder acceder a dicho contenido es necesario desplegar el sobre o romper los extremos del mismo, que como ya se han expuesto, están perfectamente engomados."
No obstante, el modelo de requerimiento de identificación de conductor remitido por la parte reclamada durante el periodo probatorio difiere sustancialmente del aportado por la parte reclamante en la reclamación presentada ante esta Agencia. Y debe ser a este último al que debe ceñirse el presente procedimiento sancionador.
En el presente caso, tal y como se indica en el primero de los hechos probados, se practicó la notificación del requerimiento de identificación de conductor, a través de un funcionario de Correos, en el domicilio de la parte reclamante, siendo recogida tal notificación por el abuelo de la parte reclamante, tal y como consta en el acuse de recibo de la notificación.
Fue cuando se retiró tal acuse de recibo cuando quedó expuesto en el reverso de la notificación, todavía cerrada y plegada, la fecha y hora de la denuncia; clase de vehículo; matrícula, marca y modelo del vehículo; nombre, apellidos, domicilio y D.N.I. del reclamante; hechos denunciados y el importe de la sanción.
El artículo 42.2 de la LPACAP (LA LEY 15010/2015) señala que "Cuando la notificación se practique en el domicilio del interesado, de no hallarse presente éste en el momento de entregarse la notificación, podrá hacerse cargo de la misma cualquier persona mayor de catorce años que se encuentre en el domicilio y haga constar su identidad. (...)".
Pero tal precepto no significa que puedan quedar expuestos datos personales una vez que se retire del documento el correspondiente acuse de recibo justificativo de la realización de la notificación, como ha sucedido en el presente caso.
No obstante lo anterior, la parte reclamada considera en su escrito de alegaciones a la propuesta de resolución que "el medio utilizado para realizar la notificación era el adecuado", añadiendo que:
"El funcionario de Correos que traslada la notificación, solamente en este momento, una vez que se despega el papel rosa y lo entrega para la firma, podría acceder a los datos personales del interesado; no obstante, estas personas están vinculadas por el compromiso de confidencialidad, por lo que no pueden difundir la información a la que podrían acceder por la entrega de envíos a través del operador público.
El resto de personas que podrían tener acceso a esta información son las que residen en el domicilio del interesado, previa acreditación de este extremo, por lo que puede presuponerse que estas personas no van a realizar un mal uso de la misma."
Al respecto hay que traer a colación, como ya se indicó en la propuesta de resolución, el artículo 13.h) de la LPACAP (LA LEY 15010/2015), "Derechos de las personas en sus relaciones con las
"Quienes de conformidad con el artículo 3, tienen capacidad de obrar ante las
Administraciones Públicas, son titulares con ellas, de los siguientes derechos:
h) A la protección de datos de carácter personal, y en particular a la seguridad y a la confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas." Y es que no podemos olvidar que las personas tienen el poder de disposición sobre sus datos personales, así como sobre su difusión, resultando, sin lugar a dudas, merecedora de protección la persona cuyos datos personales se difundan vulnerando el ordenamiento jurídico.
En este sentido, la STC 292/2000, de 30 de noviembre (LA LEY 11336/2000), dispone que "el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos".
Es indiferente el compromiso de confidencialidad al que está sujeto el personal de Correos así como el uso que dé a esos datos la tercera persona que, estando en el domicilio del destinatario, ha recogido la notificación, porque lo cierto es que con la exposición de tales datos al retirarse el aviso de recibo de color rosa relativo a la notificación, la parte reclamante ha perdido su poder de disposición y de control para para decidir si esos datos los proporciona a un tercero o no.
Por otro lado, indica la parte reclamada en su escrito de alegaciones a la propuesta de resolución que "es importante tener en cuenta que si el reclamante no quisiera que, la persona residente o que se halle circunstancialmente en el domicilio, tenga acceso a sus datos personales, no posibilitaría que los mismos recogiesen el envío, puesto que no es obligatoria la recepción de la notificación por la persona a la que no va destinada, ni siquiera por el propio destinatario, artículo 41 de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015)."
Si bien es cierto que no es obligatoria la recepción de la notificación, esto no puede significar, como ya se ha indicado, que puedan quedar expuestos datos personales del destinatario una vez retirado el aviso de recibo de color rosa.
A mayor abundamiento hay que señalar que tal afirmación es gratuita pues, en el presente caso, estamos hablando de una notificación de identificación de conductor, por lo que la parte reclamante no podía estar esperando tal notificación y, por tanto, no podía no posibilitar la recogida del envío.
III Finaliza la parte reclamada sus alegaciones al acuerdo de inicio señalando que "No se pone en duda que, en este caso concreto, se haya podido producir un incidente que ha afectado a la seguridad de esta notificación, pero tal y como se ha manifestado anteriormente, es la primera vez que se denuncia a esta administración por un incumplimiento de este tipo y se considera que las medidas de seguridad son adecuadas y proporcionadas al riesgo."
El considerando 74 del RGPD establece que:
"Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas."
Trasladando este considerando al caso concreto que se examina, se puede concluir que, en el momento de realizarse el envío, la parte reclamada no disponía de las medidas de seguridad razonables en función de los posibles riesgos estimados, puesto que, el hecho de que los datos personales relativos a la infracción en materia de tráfico queden en la parte externa del documento enviado, provoca que los datos sean accesibles, no solo para el agente notificador que retira el acuse de recibo, sino para cualquier otra persona por la que pueda pasar físicamente la carta, como ha sucedido en el presente caso, en el que la notificación ha sido entregada a una persona distinta del destinatario que se encontraba en su domicilio, como permite el mencionado artículo 42.2 de la LPACAP (LA LEY 15010/2015).
Cierto es que la parte reclamada manifiesta que actualmente la notificación del requerimiento de identificación de conductor no deja expuestos datos de carácter personal en la parte exterior de la carta una vez que se retira el acuse de recibo justificativo de la práctica de la notificación.
No obstante, como ya se ha indicado anteriormente, la notificación que es objeto del presente procedimiento sancionador es la que ha recibido la parte reclamante, siendo indiferente cómo se haga hoy en día la notificación del requerimiento de identificación de conductor así como que sea la primera vez que se denuncie a la parte reclamada por esta cuestión.
Por lo expuesto, se desestiman las alegaciones formuladas por la parte reclamada tanto al acuerdo de inicio como a la propuesta de resolución.
IV En el presente caso, de acuerdo con lo establecido en el artículo 4.1 del RGPD (LA LEY 6637/2016), consta la realización de un tratamiento de datos personales, toda vez que la parte reclamada, en sus relaciones con los ciudadanos, realiza diversas actividades de tratamiento, entre otras, la tramitación de procedimientos administrativos sancionadores en materia de Tráfico y la notificación de los documentos, lo que conlleva la organización, consulta, utilización y comunicación de, entre otros, los siguientes datos personales de personas físicas: nombre, apellidos, dirección y matrícula del vehículo, entendiendo por dato de carácter personal: "toda información sobre una persona física identificada o identificable".
La parte reclamada realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD (LA LEY 6637/2016), que define al «responsable del tratamiento» o «responsable» como: "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros".
Se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Asimismo, debe entenderse por tratamiento "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción".
V El artículo 5.1.f) del RGPD (LA LEY 6637/2016), "Principios relativos al tratamiento", establece:
"1. Los datos personales serán:
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)."
De la documentación obrante en el expediente se ofrecen indicios evidentes de que la parte reclamada ha vulnerado el artículo 5.1.f) del RGPD (LA LEY 6637/2016), pues la notificación de requerimiento de identificación de conductor dirigido a la parte a la parte reclamante fue recogida, de conformidad con el artículo 42.2 de la LPACAP (LA LEY 15010/2015), por el abuelo de la parte reclamante; persona para la que fue accesible, una vez que se retiró el acuse de recibo justificativo de la práctica de tal notificación, y con el documento todavía cerrado y plegado, una serie de datos personales del reclamante, en concreto quedó expuesto la fecha y hora de la denuncia; clase de vehículo; matrícula, marca y modelo del vehículo; nombre, apellidos, domicilio y D.N.I. del reclamante; hechos denunciados y el importe de la sanción.
El mencionado artículo 42.2 de la LPACAP (LA LEY 15010/2015) señala que "Cuando la notificación se practique en el domicilio del interesado, de no hallarse presente éste en el momento de entregarse la notificación, podrá hacerse cargo de la misma cualquier persona mayor de catorce años que se encuentre en el domicilio y haga constar su identidad. (...)".
En el mismo sentido, el Reglamento por el que se regula la prestación de los servicios postales, indica en el apartado 2 de su artículo 41, "Disposiciones generales sobre la entrega de notificaciones", que "Cuando se practique la notificación en el domicilio del interesado y no se halle presente éste en el momento de entregarse dicha notificación, podrá hacerse cargo de la misma cualquier persona que se encuentre en el domicilio y haga constar su identidad."
Pero tales preceptos no comprenden la posibilidad de que puedan quedar expuestos datos personales una vez que se retire del documento el correspondiente acuse de recibo justificativo de la realización de la notificación. Por lo que la exposición de los datos personales que se ha producido en el presente caso supone una vulneración del artículo 5.1.f) del RGPD (LA LEY 6637/2016).
VI Con carácter previo hay que indicar que, en referencia a sobres enviados para notificar o informar, con la dirección de los destinatarios y la información añadida a su lado, por ejemplo conteniendo "cobro morosos", o similares, varias sentencias de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, sección primera, si bien en el ámbito privado, no en la notificación de un acto administrativo, se han pronunciado confirmando resoluciones de la AEPD en las que se imponen sanciones por infringir los principios de seguridad en el tratamiento de datos. Por citar dos, la de SAN de 15 de abril de 2014, recurso 143/2013 (LA LEY 51520/2014) y la SAN de 10 de julio de 2014, recurso 212/2013 (LA LEY 94719/2014).
En ambas, se indica que los soportes y documentos vulneran las medidas de seguridad en el tratamiento cuando en el traslado de soportes y documentos que contienen datos de carácter personal, no adopten las medidas dirigidas a evitar el acceso indebido a la información durante su traslado.
El artículo 32 del RGPD (LA LEY 6637/2016), "Seguridad del tratamiento", establece:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros".
La parte reclamada ha adjuntado modelo de cómo son los envíos que realiza la Oficina de Gestión de Multas del Ayuntamiento de Santiago, en el que constarían los datos mínimos necesarios para la tramitación de los expedientes sancionadores en materia de tráfico. Pero lo cierto es que tal envío difiere del documento aportado por la parte reclamante, en el que se ven claramente expuestos en la parte exterior de la carta datos personales del mismo que no debían estar expuestos, en concreto su D.N.I.; clase de vehículo que tiene a su nombre; matrícula, marca y modelo del vehículo; fecha y hora de la denuncia que se ha presentado contra él; los hechos denunciados y el importe de la sanción; y que se trata de un "requerimiento de identificación de conductor", sin que por la parte reclamada se haya aportado explicación alguna sobre lo que ha podido suceder en este caso concreto.
De la documentación obrante en el expediente se ofrecen indicios evidentes de que la parte reclamada ha vulnerado el artículo 32 del RGPD (LA LEY 6637/2016), pues no ha adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, al posibilitar la exhibición de datos de carácter personal del destinatario de la notificación de un procedimiento sancionador en materia de Tráfico, lo que determina la falta de diligencia mínima por el responsable, independientemente de la brecha de datos personales producida. La parte reclamada, como responsable del tratamiento, ha de poner los medios y medidas para que todo su personal conozca y cumpla las responsabilidades en el manejo de datos personales, teniendo acceso al contenido del documento solo el personal asignado, tanto en el tiempo de su despacho como tras el mismo.
En este caso, debido a que los datos de la infracción cometida por el ciudadano se encuentran en la parte externa de la carta, al retirar el agente notificador el justificante de entrega adherido a la misma, quedaron expuestos a cualquiera los datos del procedimiento sancionador que eran objeto de notificación: nombre, apellidos, domicilio y D.N.I. del ahora reclamante; clase de vehículo que tiene a su nombre; matrícula, marca y modelo del vehículo; fecha y hora de la denuncia que se ha presentado contra él; los hechos denunciados y el importe de la sanción; y que se trata de un "requerimiento de identificación de conductor".
Hay que señalar que el RGPD en el citado artículo 32 del RGPD (LA LEY 6637/2016) no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.
Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado, señalando que la determinación de las medidas técnicas y organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales.
En este mismo sentido el considerando 83 del RGPD señala que "(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales".
El considerando 75 del RGPD enumera una serie de factores o supuestos asociados a riesgos para las garantías de los derechos y libertades de los interesados:
"Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados."
La responsabilidad de la parte reclamada viene determinada por la quiebra de seguridad puesta de manifiesto en la reclamación y documentación aportada, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, para asegurar que los datos no queden a la vista de cualquier persona que reciba el envío. Al no existir un elemento físico que impida o ponga de manifiesto el acceso indebido al contenido de la comunicación postal, los datos personales quedan desprotegidos.
VII De conformidad con las evidencias de las que se dispone, se considera que los hechos expuestos vulneran lo dispuesto en los artículos 5.1.f) (LA LEY 6637/2016) y 32 del RGPD (LA LEY 6637/2016), lo que supone la comisión de las infracciones tipificadas en el artículo 83 apartados 4.a) y
5.a) del RGPD, que disponen lo siguiente:
"4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
(...)
5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;"
A este respecto, la LOPDGDD, en su artículo 71 (LA LEY 19303/2018) "Infracciones" establece que
"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), así como las que resulten contrarias a la presente ley orgánica".
Por otro lado, el artículo 72 de la LOPDGDD (LA LEY 19303/2018) indica, a efectos del plazo de prescripción:
"Artículo 72. Infracciones consideradas muy graves.
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando por principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679"
Mientras que el artículo 73 de la LOPDGDD (LA LEY 19303/2018) indica, a efectos del plazo de prescripción:
"Artículo 73. Infracciones consideradas graves.
En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(...) f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679 (LA LEY 6637/2016)."
VIII El artículo 83 "Condiciones generales para la imposición de multas administrativas" del
RGPD en su apartado 7 establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
Asimismo, el artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD (LA LEY 19303/2018) dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
(...) c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(...)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo."