ANTECEDENTES
PRIMERO: Con fecha 18 de mayo de 2018 se registra de entrada en esta Agencia reclamación formulada por Don
A.A.A.,
en representación de la Sección Sindical de la Confederación General del Trabajo del Ayuntamiento de Parla, (en adelante, el reclamante), contra el Ayuntamiento de Parla, (en adelante, el reclamado), por vulneración del derecho de confidencialidad al mantener, desde hace bastante tiempo, en la sede del Departamento de Servicios Sociales de ese Ayuntamiento, ubicado en el Centro "
***CENTRO.1
", sito la ***DIRECCION.1 de Parla, la siguiente situación:
"trabajadores sociales, educadores, mediadores y psicólogos comparten despacho a la vez que atienen a las familias de Parla", lo que viene sucediendo a pesar de haber comunicado, reiteradamente, a la dirección del servicio el malestar derivado de "atender de forma simultánea a dos familias a la vez en cada despacho, "de modo que "un vecino puede estar escuchando la vida de otro".
SEGUNDO: Con fecha 18 de junio de 2018 se dio traslado de la reclamación presentada en mayo de 2018 al Centro de Servicios Sociales "
***CENTRO.1
" de Parla, (en lo sucesivo CDCH), requiriéndole en relación con la misma contestación a determinados extremos.
En contestación a los cuales, con fecha 19 de julio de 2018 se registra de entrada en esta Agencia escrito de la Jefa del Gabinete de Alcaldía indicando que se han dado las ordenes necesarias para que por parte de la Concejalía competente se estudien y adopten las medidas oportunas para solucionar la situación. Dicho escrito se acompaña por los informes emitidos por el Delegado de Protección de Datos del Ayuntamiento y por el Director de Servicios Sociales Ayuntamiento de Parla en relación con los hechos expuestos.
El Director de Servicios Sociales Ayuntamiento de Parla indica al respecto que la situación descrita se vincula con una mayor demanda ciudadana de servicios sociales a partir de la llegada de la crisis económica, lo que ha provocado en los últimos 4 años una reorganización de los recursos del Departamento para dar prioridad a la atención inmediata al ciudadano, aumentando para ello el número de citas establecidas en las agendas de los técnicos, y por tanto la utilización conjunta de los espacios disponibles.
Esta situación afecta al trabajo de diferentes profesionales de atención directa que comparten espacio (despachos con 2 mesas separadas por biombos). Por otro lado, la pérdida de espacios municipales destinados al Departamento de Bienestar Social obliga a la concentración de profesionales en los centros disponibles, produciéndose un problema de disponibilidad de despachos individuales.
1 Las propuestas efectuadas desde la Dirección del centro para resolver los problemas de espacio existentes (adaptación infraestructuras existentes o alquiler/construcción nuevo centro) se han visto condicionadas por la aplicación del presupuesto municipal y el cumplimiento de los principios de sostenibilidad financiera y estabilidad presupuestaria.
Aduce que "En febrero de 2018 se planteó, por parte de la Dirección del Centro, a los trabajadores del departamento, el estudio de una propuesta que permitiera dar una solución parcial a los problemas de atención simultáneos a los ciudadanos, a partir de una nueva organización de las agendas y días de atención de los profesionales que comparten despachos, de tal forma que no coincidiera la atención de usuarios de los 2 técnicos de un mismo espacio. Dicha propuesta supone un cambio importante en la organización del trabajo que se venía desarrollando al introducir modificaciones de procesos ya consolidados. Dicha propuesta no fue aceptada por la plantilla de trabajadores en la reunión mantenida en marzo de 2018, por lo que no se implementó. ".
Indica que está en estudio un proyecto para la reforma de un local de propiedad municipal para su adecuación como centro de servicios sociales, que fue trasladado con fecha 01/06/2018 al Departamento de Urbanismo para su estudio y viabilidad, así como la medida provisional consistente en reubicar parte del personal del departamento a otro centro para reducir el problema de espacios en el CDCH sin afectar su funcionamiento y organización actuales del mismo. Alternativas y propuestas que han sido analizadas en las reuniones mantenidas por la Dirección del CDCH en marzo y abril de 2018 con representantes de las distintas secciones sindicales.
Se señala haber remitido copia de este informe al correo del sindicato reclamante en el Ayuntamiento.
TERCERO: Con fecha 25 de octubre de 2018 se registra de entrada en esta Agencia nueva reclamación formulada el reclamante a través de Don
B.B.B.
, en la que se reiteran los hechos expuestos.
CUARTO: Con fecha 21 de marzo de 2019, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador de APERCIBIMIENTO, al AYUNTAMENTO DE PARLA, por la presunta infracción del artículo 32.1.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (en adelante RGPD), en su relación con lo previsto en el artículo 5.1.f) del RGPD (LA LEY 6637/2016), tipificada en el artículo 83.4.a) del RGPD (LA LEY 6637/2016), de conformidad con lo previsto en el artículo 58.2.b) de la misma norma.
Asimismo, en dicho acuerdo de inicio se señalaba que, de confirmarse la existencia de infracción, a los efectos previstos en el artículo 58.2.d) del RGPD (LA LEY 6637/2016) la medida correctiva que podría imponerse al reclamado en la resolución que se adoptase consistiría en ORDENARLE la adopción de medidas técnicas y organizativas adecuadas para garantizar la seguridad y confidencialidad de los datos tratados en los espacios en los que se atiende a los ciudadanos. Dicha medida se habría de adoptar, en su caso, en el plazo que se señalase, a contar desde el día siguiente hábil al de la notificación de la resolución sancionadora, debiendo aportarse los medios de prueba acreditativos de su cumplimiento.
QUINTO: Notificado el citado acuerdo de inicio, con fecha 10 de abril de 2019 el reclamado presentó escrito de alegaciones solicitando el sobreseimiento del procedimiento con fundamento, en síntesis, en los siguientes extremos:
-Se aduce que la situación económica del reclamado, y lo dilatado de los plazos administrativos, ha provocado que en el momento actual no se hayan cerrado totalmente los problemas de falta de confidencialidad que originaron el procedimiento sancionador. Sin perjuicio de lo cual se mantiene que se ha avanzado sustancialmente en su resolución, estimándose que un plazo de tres meses dichas medidas podrán estar finalizadas (primera quincena de julio de 2019).
- Se adjunta informe emitido con fecha 4 de abril de 2019 por el Director de Servicios Sociales poniendo de manifiesto las medidas provisionales implantadas en el CDCH y describiendo las medidas cuya ejecución está prevista finalizará para la primera quincena de julio de 2019. Tales medidas se consideran provisionales hasta que la situación del reclamado permita dotar presupuestariamente el estudio definitivo de la viabilidad de un nuevo centro para descongestionar los servicios sociales actualmente prestados.
SEXTO: Con fecha 10 de julio de 2019 se formula propuesta de resolución en el sentido de que por la Directora de la Agencia Española de Protección de Datos se impusiera al Ayuntamiento de Parla, de conformidad con lo previsto en el artículo 58.2.b) del RGPD (LA LEY 6637/2016), una sanción de Apercibimiento por la comisión de una infracción del artículo 32.1.b) del RGPD (LA LEY 6637/2016) en su relación con lo dispuesto en el artículo 5.1.f) de la misma norma, tipificada en el artículo 83.4.a) del RGPD (LA LEY 6637/2016).
Asimismo, se proponía, de conformidad con lo previsto en el artículo 58.2.d) del RGPD (LA LEY 6637/2016), que de no haberse acreditado la subsanación de la situación irregular en el momento de la resolución, la Directora de la Agencia Española de Protección de Datos ordenase al reclamado la aplicación de las medidas necesarias para corregir la falta de confidencialidad que afecta a los tratamientos de los datos personales de los ciudadanos que son atendidos en los despachos o espacios de uso compartido del Centro de Servicios Sociales "
***CENTRO.1
". Para lo cual, el reclamado deberá, en el plazo de un mes a contar desde el siguiente a la notificación de la resolución del procedimiento, comunicar y/o acreditar ante esta Agencia:
• La efectiva implementación de las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado frente al riesgo de filtración o acceso indebido por terceros no interesados a los datos personales de los ciudadanos que son atendidos en el CDCH, con independencia de que éstos también puedan ser usuarios de los servicios sociales, a fin de garantizar la confidencialidad de dicha información.
• Remitir documentación o cualquier medio de prueba que permita acreditar la ejecución por el reclamado de las actuaciones detalladas en el informe de fecha 4 de abril de 2019 adjuntado al escrito de alegaciones a fin de evitar el uso común de los despachos en los que los profesionales atienden a los ciudadanos.
SÉPTIMO: Notificada la citada propuesta de resolución, con fecha 18 de julio de 2019 se registra de entrada en esta Agencia escrito de alegaciones del reclamado indicando que se adjuntaba informe del Director de Servicios Sociales relativo al estado de ejecución de las medidas técnicas y organizativas que se estaban adoptando para garantizar la seguridad y confidencialidad de los datos personales en los espacios de uso compartido del CDCH en los que los profesionales atendían, en forma individual y/o familiar, a los ciudadanos que acudían a dicha sede.
En dicho informe, como cuestiones previas, se señala que las tareas de acondicionamiento de los centros necesarias para poder trasladar a diferentes profesionales del CDCH al centro de la ***DIRECCION.2 y, posteriormente, efectuar la asignación de los despachos individuales, se han visto retrasadas debido a la elección de las fechas más idóneas para que su realización, efectuándose con menores inconvenientes para los profesionales, que disfrutarán de sus vacaciones, y evitando disfunciones a los ciudadanos que acuden con menor afluencia en el periodo estival, estando prevista su finalización para la primera quincena de septiembre de 2019.
En cuanto a las medidas propuestas se detallan las actuaciones a realizar en los mencionados centros en la segunda quincena de julio y agosto. Se indica que a lo largo del mes de agosto seis profesionales procedentes del CDCH se incorporarán al centro de la ***DIRECCION.2, donde dispondrán de despacho individual para garantizar la confidencialidad en la atención prestada, de tal forma que a lo largo de la primera quincena de septiembre todos ellos estarán incorporado al nuevo centro.
A su vez, durante los meses de julio y agosto los profesionales de servicios sociales del CDCH atenderán en despachos individuales al estar parte de la plantilla del centro de vacaciones. Está planificado que las tareas de pintura y sustitución del pavimento puedan estar terminadas para el 2 de septiembre de 2019. Reiteran las medidas a adoptar relativas a la redistribución de los espacios existentes en el CDCH, que se concretan en adaptar las dos blibliotecas/salas de reuniones para su uso como despachos y transformar los siete despachos actualmente de uso compartido en despachos de uso individual. Esta redistribución permitirá garantizar un nivel de seguridad adecuado que impida la vulneración del principio de confidencialidad en el tratamiento de datos personales de los ciudadanos que pasarán a ser atendidos en despachos de uso individual por los profesionales del departamento de servicios sociales del CDCH.
Se añade que de acuerdo con su planificación, las medidas reseñadas estarán ejecutadas a lo largo de la primera quincena de septiembre de 2019 en ambos centros.
OCTAVO: De las actuaciones practicadas han quedado acreditados los siguientes hechos:
1. Con fechas 18 de mayo y 25 de octubre de 2018 se registran de entrada en esta Agencia sendas reclamaciones formuladas contra el Ayuntamiento de Parla por representantes de la Sección Sindical de la Confederación General del Trabajo de dicho Ayuntamiento, en las que manifiestan que en el Centro "
***CENTRO.1
", sito en ***DIRECCION.1 de Parla, se vulnera el principio de confidencialidad de los datos al tratarse información de carácter personal de los ciudadanos que acuden al centro en despachos de uso compartido por varios profesionales.
2. Consta incorporado al procedimiento informe emitido con fecha 18 de mayo de 2018 desde la Concejalía de Servicios Sociales del Ayuntamiento de Parla, en el que se señala:
"El Centro
***CENTRO.1
(sede de los servicios sociales municipales) es un edifico con planta baja donde se dispone de 5 despachos individuales de atención para trabajadores sociales de la denominada Unidad de Acogida y Primer atención. En la primera y segunda planta se ubican las unidades de intervención social y la unidad de mayores, plantas donde diferentes profesionales comparten despachos durante la atención. Asimismo en la segunda planta se encuentra la Unidad de Protección a la infancia que dispone de despachos individuales para la atención a las familias. Junto a estos espacios se dispone de 4 salas polivalentes que se utilizan, en caso necesario para atenciones individuales, familiares y/o grupales. Junto a los espacios señalados se encuentran otros despachos individuales para personal de dirección, apoyo técnico y administrativo."
3. Consta incorporado al procedimiento informe emitido con fecha 4 de abril de 2019 por el Director de Servicios Sociales del Ayuntamiento de Parla en el que figuran descritas las medidas provisionales implantadas y/o previstas hasta que la situación del reclamado permita dotar presupuestariamente el estudio definitivo de la viabilidad de un nuevo centro para descongestionar los servicios sociales actualmente prestados. En dicho informe se indica que:
2 Se han realizado trabajos de reforma y acondicionamiento en el Centro situado en la ***DIRECCION.2 (en adelante CFN), como actuación previa a la adopción de una serie de medidas cuya ejecución se propone para poder garantizar la seguridad y confidencialidad de los datos personales en los espacios en los que se atiende a los ciudadanos en el Centro
***CENTRO.1
(en adelante, CDCH). Las medidas propuestas son las siguientes:
1. Trasladar a diferentes profesionales del CDCH a las instalaciones del CFN, que cuenta con despachos individuales para garantizar la confidencialidad en la atención a las personas y familias y el desarrollo del trabajo de los profesionales.
2. Redistribuir los espacios existentes en el CDCH, tanto los despachos liberados como otros espacios actuales de uso común, entre los profesionales que actualmente se ven afectados por un uso compartido del mismo espacio. Esta redistribución permitirá garantizar la confidencialidad en la atención a los ciudadanos a través de la disponibilidad de espacios suficientes de uso individual.
3. Las medidas anteriores conllevan requerir a los servicios de mantenimiento de edificios municipales y al departamento de informática la ejecución de una serie de tareas para adecuar dichos espacios a su nuevo uso y dotar de medios materiales y técnicos a los profesionales.
4. Su realización supondrá la suspensión parcial de la atención al ciudadano durante su ejecución.
Se estima que en un plazo de tres meses podrán estar finalizadas (primera quincena de julio de 2019)"
FUNDAMENTOS DE DERECHO
II Los artículos 1 (LA LEY 6637/2016) y 2.1 del RGPD (LA LEY 6637/2016) disponen lo siguiente:
"Artículo 1. Objeto
1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Artículo 2. Ámbito de aplicación material
1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero."
A estos efectos se recuerda que el artículo 4 del RGPD (LA LEY 6637/2016), bajo la rúbrica
"Definiciones", dispone que:
"A efectos del presente Reglamento se entenderá por:
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;"
"9) «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un TERCERO:
No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
10) «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado; "
De conformidad con las definiciones recogidas en los reseñados apartados 1 y 2 del artículo 4 del RGPD (LA LEY 6637/2016) en las instalaciones de uso compartido del CDCH se produce un tratamiento de datos personales de los ciudadanos que son atendidos por los profesionales de dicho centro que conlleva su identificación, o los hace identificables, no sólo respecto de tales profesionales sino también para el resto de ciudadanos que pueden acceder a esa información en tanto que no se trata de despachos o instalaciones de uso individualizado.
III En el presente procedimiento se imputa al reclamado la falta de aplicación de medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado que impida la vulneración del principio de confidencialidad en el tratamiento de datos personales de los ciudadanos que son atendidos, en despachos y espacios de uso compartido, por profesionales del departamento de servicios sociales del CDCH.
Esta conducta constituye infracción a lo dispuesto en el artículo 32.1.b) y 2 del
RGPD, relativo a la "Seguridad del tratamiento", establece que:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
(...)
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
(...)
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. "
Los apartados 1.f) y 2 del artículo 5 del RGPD (LA LEY 6637/2016), bajo la rúbrica "Principios relativos al tratamiento", establecen que:
"1. Los datos personales serán: (...)
c) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")
(...)
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)"
El apartado 2 del reseñado artículo
A su vez, el artículo 5 de la LOPDGDD (LA LEY 19303/2018), bajo la rúbrica, "Deber de confidencialidad", dispone que:
1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679 (LA LEY 6637/2016).
2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
En el presente supuesto está acreditado que la información de carácter personal e íntimo que ha venido siendo tratada en despachos o espacios de uso compartido por los profesionales del CDCH, y concerniente a las personas físicas demandantes o beneficiarios de los servicios sociales prestados en el dicho centro, ha resultado accesible a terceras personas presentes en esos espacios compartidos en su condición, también, de usuarios de tales servicios. De esta forma la atención simultánea a ciudadanos en despachos compartidos por varios profesionales no ha garantizado la confidencialidad de la información de carácter personal concerniente a los usuarios de esos servicios, ya que sus datos personales, junto con información referida a aspectos de su vida íntima y familiar, han resultado accesibles al resto de personas atendidas en esos espacios de uso común.
Sin perjuicio de la existencia de las dificultades derivadas de la falta de disponibilidad de instalaciones suficientes para poder atender en despachos individuales el aumento de la demanda de servicios sociales producido en los últimos años, así como la incidencia que sobre su resolución plantea la falta de recursos económicos, no cabe duda que en los despachos o espacios de uso compartido por profesionales del CDCH se ha producido un tratamiento de datos concerniente a las personas físicas solicitantes o beneficiarios de servicios sociales que ha vulnerado el principio de confidencialidad, y que traía causa de la falta de adopción e implementación por parte del reclamado de las medidas de seguridad necesarias para impedir que la información de carácter personal tratada por los profesionales del centro en dichas dependencias, incluyendo aspectos que afectaban a la intimidad personal o familiar de los ciudadanos atendidos, pudiera ser conocida por terceros usuarios de esos servicios presentes en esos espacios compartidos.
El reclamado, en su condición de responsable de dicho tratamiento, debería de haber aplicado, en forma proactiva, las medidas técnicas y organizativas que resultaban apropiadas para evaluar y garantizar un nivel de seguridad adecuado a los probables riesgos de diversa naturaleza y gravedad vinculados a los tipos de tratamientos de datos personales realizados que puedan afectar, entre otros, al principio de confidencialidad. A estos efectos se recuerda que los artículos 24.1 del RGPD (LA LEY 6637/2016) establece lo siguiente respecto de las obligaciones a cumplir por el responsable del tratamiento:
"Artículo 24. Responsabilidad del responsable del tratamiento
1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario."
Consta también en el procedimiento que este uso común de espacios por varios profesionales ha venido produciéndose en dicho centro, según se desprende de los informes aportados al procedimiento, al menos en los últimos cuatro años, y ha continuado sucediendo hasta la segunda quincena de julio de 2019, momento a partir de la cual, y aprovechando su vuelta de vacaciones, se producirá la incorporación de seis profesionales procedentes del CDCH al centro sito en la c/
Fuente Nueva.
Este traslado, a su vez, facilitará la redistribución de los espacios en el CDCH, permitiendo transformar los despachos de uso común o compartido en espacios de uso individual una vez hayan finalizado las tareas de pintura y sustitución del pavimento del centro a principios de septiembre de 2019, ello sin perjuicio de que dicha utilización individual de los despachos ya viene produciéndose en el CDCH desde principios de julio aprovechando la mayor disponibilidad de los mismos debido al disfrute del periodo vacacional por parte de los profesionales que prestan servicios en el centro.
IV Los apartados b), d) e i) del artículo 58.2 del RGPD (LA LEY 6637/2016), "Poderes", disponen lo siguiente:
"2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
(...)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;"
(...)
"d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;"
"i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;"
A los efectos de determinar la sanción que pudiera llevar aparejada la mencionada infracción han de tenerse en cuenta los siguientes preceptos:
El artículo 83 del RGPD (LA LEY 6637/2016), bajo la rúbrica "Consideraciones generales para la imposición de multas administrativas", establece en su apartado 2.d) que:
"2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
(...)
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;"
El citado artículo 83 señala en su apartado 4.a) que:
"4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43."
El artículo 73.f) de la LOPDGDD (LA LEY 19303/2018) dispone que: "En función de lo que establece el artículo 83.4 del Reglamento (U.E.) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquél y, en particular, las siguientes:
"f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE)
2016/679.
Paralelamente, el artículo 83.7 del RGPD (LA LEY 6637/2016) establece que:
"7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro"
A su vez, en cuanto al "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento", los apartados 1.c), 2, 4 y 5 del artículo 77 de la LOPDGDD (LA LEY 19303/2018) determinan que:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(...)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
(...)
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo."
Con arreglo a lo expuesto, el reclamado resulta responsable de la comisión de una infracción a lo dispuesto en el artículo 32.1.b) del RGPD (LA LEY 6637/2016) en su relación con lo dispuesto en el artículo 5.1.f) de la misma norma, tipificada en el artículo 83.4.a) del citado texto legal y calificada como grave a efectos de prescripción en el artículo 73.f) de la LOPDGDD (LA LEY 19303/2018), pudiendo ser ser sancionado, de acuerdo con lo dispuesto en el artículo 58.2.b) del RGPD (LA LEY 6637/2016), con apercibimiento.
En este caso, el reclamado ha puesto de manifiesto en sus escritos de alegaciones las medidas técnicas y organizativas adoptadas en el CDCH a fin de garantizar un nivel de seguridad adecuado que impida la vulneración del principio de confidencialidad en el tratamiento de datos personales de los ciudadanos que son atendidos en esa sede, y que ha implicado la realización de una serie de actuaciones tendentes a redistribuir los espacios de uso común en los que se atendía a los ciudadanos por los profesionales del departamento de servicios sociales del CDCH en despachos de uso individual, y cuya finalización esta prevista para la primera quincena de septiembre.
A la vista de lo cual, se estima que por parte del reclamado se han adoptado, y se están implementando en la actualidad, las medidas técnicas y organizativas necesarias para garantizar la confidencialidad y seguridad de los datos personales concernientes a las personas físicas atendidas en los despachos que se estaban utilizando en forma conjunta por varios profesionales del CDCH, lo que no obsta para considerar responsable de la infracción descrita al reclamado a la vista de los hechos que han resultado probados.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDPGDD (LA LEY 19303/2018), y de acuerdo con lo establecido en el artículo 123 de la LPACAP (LA LEY 15010/2015), los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LA LEY 2689/1998), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP (LA LEY 15010/2015), se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica- web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre (LA LEY 15010/2015). También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso- administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos