1/211/21 procedimiento nº ap/00059/2016 resoluciÓn: r/01084/2017 en el procedimiento de...

$: 1/211/21 Procedimiento Nº AP/00059/2016 RESOLUCIÓN: R/01084/2017 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00059/2016, instruido por la$
1/21

Procedimiento Nº AP/00059/2016

RESOLUCIÓN: R/01084/2017

En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00059/2016, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE MADRID, vistas las denuncias presentadas por los denunciantes que se relacionan en el Anexo I y en base a los siguientes,

ANTECEDENTES

PRIMERO: Ha tenido entrada en la Agencia Española de Protección de Datos (AEPD), con fecha de 6 de noviembre de 2015, escrito presentado por el denunciante primero, en nombre y representación del Grupo Municipal del Partido Popular, en el que manifiesta que ha tenido conocimiento de que el Ayuntamiento de Madrid se ha dirigido a los ciudadanos mediante correo electrónico, solicitando a los vecinos y vecinas, que envíen ideas para mejorar la ciudad.

Las direcciones de correo se han obtenido de los modelos y formularios que los ciudadanos rellenan cuando realizan algún trámite ante la administración municipal y que el envío se ha producido sin que se hayan dado los supuestos a los que alude el artículo 11 de la Ley Orgánica 15/1999, consentimiento del interesado o estar en alguno de los establecidos en el apartado 2 de dicho artículo.

Que el envío se debe enmarcar en el proyecto de puesta en marcha en la página web denominado “decide.madrid.es”.

Se adjunta dicho escrito remitido desde la dirección de correo electrónico <[email protected]>, el día 3 de noviembre de 2015, Asunto: Dile lo que piensas a Manuela Carmena, en el que se informa de lo siguiente:

<<…Queridos vecinos y vecinas de Madrid:

Mientras leéis este correo miles de ciudadanos desde Vallecas hasta Malasaña están votando, colgando ideas o debatiendo cómo acercarnos un poquito más a un Madrid más accesible, más amable y mucho más humano.

Conseguir que el transporte público se adapte a nuestras necesidades, decidir dónde van nuestros impuestos, sugerir nuevas multas, quitarlas…

Hace pocas semanas, desde el Ayuntamiento pusimos en marcha una plataforma en la que cualquiera puede lanzarnos las propuestas que queréis que pongamos en marcha, y si consiguen los apoyos suficientes, organizaremos una votación donde toda la ciudad decida si llevarlas a cabo o no. En el Ayuntamiento nos comprometemos a asumir lo que decidáis y hacerlo realidad.

Participa. Dile lo que piensas a Manuela Carmena.

C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

2/21

¿Te imaginas que una de tus propuestas lo consigue? ¡Cuéntanosla!


Si es la primera vez que entras en el portal necesitarás registrarte. Pero no te preocupes, cuando vayas a crear una propuesta o a apoyar una que ya exista aparecerá una ventana que te explicará cómo verificar tus datos. Es muy sencillo.

B.B.B.DelegadoÁrea de Gobierno de Participación Ciudadana, Transparencia y Gobierno Abierto.Ayuntamiento de Madrid

P.D. Puedes participar en este nuevo servicio del Ayuntamiento de Madrid a través de la anterior web, o desde cualquiera de las 26 oficinas de atención a la ciudadanía de Línea Madrid. La dirección de correo electrónico que hemos utilizado para hacerle envío de este mensaje consta en el fichero “Atención al Ciudadano”, (…). Le recordamos que usted puede ejercer en cualquier momento sus derechos de acceso, rectificación, cancelación y oposición sobre sus datos de carácter personal en poder del Ayuntamiento de Madrid (más información pulsando aquí)…>>

También, se aportan dos impresos para la realización de gestiones ante el Ayuntamiento de Madrid:

Solicitud de autorización servicio estacionamiento regulado (SER) Certificación de retribución en especie: en el que se debe cumplimentar diversa información, entre otros, la dirección de correo electrónico.

En el pie de página consta el siguiente texto:

Los datos recogidos serán incorporados y tratados en el fichero “Zonas de Estacionamiento Regulado” cuya finalidad es facilitar el estacionamiento en la ciudad de Madrid, mediante la gestión y explotación de las zonas de estacionamiento regulado. Los datos no podrán ser cedidos a terceros salvo en los supuestos previstos en el artículo 11 de la Ley Orgánica 15/1999. (…).

Gestión de multas de circulación: en el que se debe cumplimentar diversa información, entre otros, siendo la dirección de correo electrónico opcional.


Los datos personales recogidos serán incorporados y tratados por el Ayuntamiento de Madrid de acuerdo con la descripción del fichero/tratamiento que figura al final de esta información. Con carácter general los datos recogidos no podrán ser cedidos a terceros salvo que se cuente con el consentimiento del interesado, o se den alguno de los supuesto previstos en el artículo 11 de la Ley Orgánica 15/1999. El interesado podrá ejercer los derechos (…).

- Nombre del fichero/tratamiento: Infracciones de Movilidad.


3/21

- Finalidad del fichero/tratamiento: Ordenar y regular el uso y utilización de las vías públicas mediante la tramitación del procedimiento sancionador derivado de las infracciones a la Ordenanza de Movilidad, así como el seguimiento y control de las multas en las fases de tramitación.

SEGUNDO: Con fecha de 17 de diciembre de 2015, tiene entrada en la AEPD escrito presentado por el segundo denunciante en el que manifiesta que ha recibido en su correo personal un escrito del Ayuntamiento de Madrid y que no es residente ni vecino de dicha ciudad ni le une a ella vínculo alguno y que no ha facilitado su dirección de correo.

Añade que solicitó el derecho de acceso y de cancelación ante el Ayuntamiento de Madrid, con fecha de 6 de noviembre de 2015, y que trascurrido el plazo legal no ha recibido respuesta.

Se adjunta con el escrito de denuncia el escrito remitido por correo electrónico desde el Área de Gobierno de Participación Ciudadana, Transparencia y Gobierno Abierto (en adelante Área de Gobierno de Participación Ciudadana), de fecha 4 de noviembre de 2015, cuyo formato y contenido coincide con el descrito en el apartado anterior y escrito del denunciante dirigido al Ayuntamiento de Madrid, con fecha de registro en el Ayuntamiento de Torrelodones el 6 de noviembre de 2015, en el que manifiesta que ha recibido en su correo electrónico personal el escrito descrito anteriormente y solicita el derecho de acceso y de cancelación: Me comuniquen de dónde han obtenido mi correo electrónico personal y procedan al borrado de dicho correo de todos sus archivos.

TERCERO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se tiene conocimiento de que:

1. En el Registro General de Protección de Datos figuran inscritos diversos ficheros cuya titularidad corresponde al Ayuntamiento de Madrid y, entre otros, los siguientes:

“Servicios de Atención al Ciudadano”, con el código ***CÓD.1 y cuya finalidad es “facilitar la gestión de los contactos con los ciudadanos a través de los servicios de atención e información del Ayuntamiento de Madrid”.

“Zonas de estacionamiento regulado”: con el código ***CÓD.2, cuya finalidad es facilitar el estacionamiento en la ciudad de Madrid, mediante la gestión y explotación de las zonas de estacionamiento regulado.

“Infracciones de movilidad”: con el código ***CÓD.3, cuya finalidad es ordenar y regular el uso y utilización de las vías públicas mediante la tramitación del procedimiento sancionador derivado de las infracciones a las ordenanzas de movilidad, seguimiento y control de las multas en las diferentes fases de su tramitación.


4/21

“Gestión de procesos participativos”: con el código ***CÓD.4, cuya finalidad es gestionar los procesos participativos para el control de la habilitación de las personas que participan en los mismos (…).

Dichas circunstancias constan en la Diligencia de fecha de 7 de julio de 2016.

2. De las actuaciones realizadas por la Inspección de Datos, con fecha de 10 de febrero y de 14 de abril de 2016, en la sede del Área de Gobierno de Participación Ciudadana se desprende lo siguiente:

El Ayuntamiento de Madrid tiene implantado el servicio denominado “Línea Madrid” de atención presencial, telefónica y telemática, que permite al ciudadano realizar gestiones y trámites administrativos y también informan por correo electrónico acerca de servicios municipales.

Desde el Área de Gobierno de Participación Ciudadana se envió un escrito a los ciudadanos, mediante correo electrónico, en el que se les informaba de la nueva plataforma de participación ciudadana que se iba a poner en funcionamiento por el Ayuntamiento de Madrid y de la posibilidad de hacer uso de la misma.

La remisión del correo electrónico se realizó por el Organismo Autónomo Informática del Ayuntamiento de Madrid (IAM), a primeros de noviembre de 2015, desde una cuenta corporativa denominada <[email protected]>, en el pie de página del escrito consta el texto “La dirección de correo electrónico que hemos utilizado para hacerle envío de este mensaje consta en el fichero “Atención al Ciudadano”, (…). Le recordamos que puede ejercer en cualquier momento su derecho de acceso, rectificación, cancelación y oposición sobre sus datos de carácter personal en poder del Ayuntamiento de Madrid (más información pulsando aquí).

El origen de las direcciones de correo electrónico utilizadas para la citada remisión fue el fichero denominado “Servicios de Atención al Ciudadano” en el que constan datos de contacto de las personas que utilizan servicios municipales “Línea Madrid”, entre ellos, la dirección de correo electrónico que solamente es obligatorio facilitarla para la gestión del Servicio de Estacionamiento Regulado (SER) de los residentes, siendo voluntaria para la gestión del resto de los servicios.

En todos los casos se incluye en el fichero “Servicios de Atención al Ciudadano” los datos relativos a la gestión solicitada o realizada y además: fecha, hora y operador que ha atendido al ciudadano.

Se remitieron un total de 223.000 correos electrónicos que se corresponden con los ciudadanos que facilitaron la dirección de correo de un total de 1.000.000 de registros con datos de los ciudadanos. Desde primeros de noviembre de 2015 hasta el 8 de febrero de 2016, se recibieron en el Ayuntamiento de Madrid “25” solicitudes de cancelación del fichero “Servicios de Atención al Ciudadano”. En algunos casos se solicita únicamente la cancelación del dato de correo electrónico.


mailto:[email protected]

5/21

Se dio respuesta a todos ellos por correo postal o por correo electrónico indicando que, atendiendo a su solicitud y en aplicación de los artículos 16 y 17 de la Ley Orgánica 15/1999, se ha eliminado del fichero “Servicios de Atención al Ciudadano” los datos solicitados.

El segundo denunciante ejercitó el derecho de acceso y cancelación del dato de la dirección de correo electrónico en todos los archivos, con fecha de registro en el Ayuntamiento de Madrid, el día 6 de diciembre de 2015. Con fecha de 10 de diciembre de 2015 se procede a la cancelación y se emitió respuesta atendiendo a la cancelación e informando que los datos los facilitó en la gestión de petición de Cita Previa que realizó el día 2 de febrero de 2015. Se adjunta copia de ambos escritos anexos al Acta de Inspección E/7637/2015 - I/1 documento nº 12.

Se ha verificado por la Inspección de Datos que en el fichero “Servicios de Atención al Ciudadano”, consulta realizada con perfil administrador, constan los siguientes datos del segundo denunciante: nombre, apellidos, NIF, teléfono móvil, nº documento D.D.D., creado el 2 de febrero de 2015 a las 14:29:16, por el operador *****1 y que fue actualizado el 10 de diciembre de 2015 a las 10:00:19 por el operador *****2. Si bien, no consta la dirección de correo electrónico.

Ante lo cual los representantes del Ayuntamiento de Madrid manifiestan que el segundo denunciante solicito a través de “Línea Madrid”, llamada al 010, cita para un servicio presencial en la Oficina de Atención al Contribuyente de Sanchinarro. .Asimismo, consta que fue atendido en la Oficina de Atención al Contribuyente de Sanchinarro en fecha 9 de febrero de 2015 y que no consta la dirección de correo electrónico por solicitud de cancelación del titular.

Por otra parte, realizada una consulta a la copia de seguridad, de fecha anterior al 30 de septiembre de 2015, se ha verificado que consta la dirección de correo electrónico del mismo con fecha de creación el 2 de febrero de 2015 y fecha de última actuación el 10 de diciembre de 2015.

La habilitación legal para la remisión de información sobre actividades y participación de los ciudadanos por parte de las Corporaciones Locales se especifica en la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, y en concreto en su artículo 69, del capítulo IV: Información y participación ciudadanas, que detalla lo siguiente: “1. Las Corporaciones locales facilitaran la más amplia información sobre su actividad y la participación de todos los ciudadanos en la vida local. 2. Las formas, medios y procedimientos de participación que las corporaciones establezcan en ejercicio de su potestad de autoorganización no podrán en ningún caso menoscabar las facultades de decisión que corresponden a los órganos representativos regulados por la ley”.

El Ayuntamiento de Madrid aprobó el Reglamento de Participación Ciudadana, de fecha 31 de mayo de 2004, que tiene por objeto “la regulación de los medios, formas y procedimientos de participación de los vecinos del municipio de Madrid en la gestión municipal, así como de las entidades ciudadanas (…)”. En el que


6/21

se desarrollan, entre otros, los siguientes aspectos:

Artículo 4. Derecho general de información: “El Ayuntamiento de Madrid garantizará a los ciudadanos del municipio su derecho a la información sobre la gestión de las competencias y servicios municipales (...). El ejercicio de este derecho se podrá realizar a través de cualquiera de los medios de información general que el Ayuntamiento establezca, incluidos los medios propios de las nuevas tecnologías al servicio de la comunicación y de la información”.

Capitulo V. Del derecho a la consulta ciudadana. Artículo. 24. Términos de la consulta. La consulta popular, en todo caso, contemplará: - El derecho de todo ciudadano incluido en el Censo Electoral a ser consultado (…).

Por otra parte, en noviembre de 2015, se aprueba el Protocolo de actuación del servicio de propuestas ciudadanas en “Línea Madrid” para informar y facilitar la participación de los ciudadanos “Decide Madrid” que se estructura en tres niveles:

Primer nivel: solo permite participar en los debates y crear nuevas propuestas, para ello es necesario registrarse en el sitio web <http://decide.madrid.es> facilitando: nombre de usuario, correo electrónico, contraseña y marcar la casilla: aceptas las condiciones de uso.

A continuación se visualiza el texto “Por favor revisa tu correo electrónico te hemos enviado un enlace para confirmar tu cuenta. Una vez confirmado podrás empezar a participar”.

Segundo nivel: es necesario registrarse previamente en el primer nivel. Permite apoyar propuestas, además de participar en debates y crear nuevas propuestas. Para ello es necesario registrarse mediante documento de identificación (NIF, NIE, pasaporte, etc.), fecha de nacimiento y código postal. Además es obligatorio marcar la casilla acepto los términos de acceso al padrón ya que el Sistema comprueba si está empadronado en la ciudad de Madrid y si es mayor de 16 años.

También, el sistema obliga a facilitar el teléfono móvil para enviar un mensaje SMS con un código numérico para continuar el proceso de registro. Se visualiza el texto: Sólo usaremos tu teléfono para enviarte un código nunca te contactaremos.

A continuación es necesario facilitar al sistema el código recibido vía SMS.

Tercer nivel: es necesario haber realizado el segundo nivel. En este nivel se permite votar además de participar en debates y crear y apoyar propuestas. Para ello, se requiere una verificación del usuario, la cual se puede obtener mediante:

Por medio de la página web si el teléfono o la dirección del correo electrónico consta en el fichero “Servicio de Atención al Ciudadano”.

Solicitando a través de la página web el envío por correo postal del código de


7/21

seguridad.

Presencialmente en cualquier Oficina de Atención al ciudadano.

Todos los ciudadanos pueden registrarse en el primer nivel, si bien para el segundo y el tercero es necesario estar empadronado en la ciudad de Madrid.

El citado procedimiento ha sido verificado por la Inspección de Datos.

Los datos personales de los ciudadanos que se han registrado en el sitio web <http://decide.madrid.es>, en la actualidad 75.000 ciudadanos, se incorporan al fichero denominado “Gestión de Procesos Participativos”. Periódicamente, desde el Ayuntamiento de Madrid se remiten comunicaciones informativas relativas a propuestas de inversión de la ciudad de Madrid a los usuarios de la web “Decide Madrid”.

CUARTO: Con fecha 4 de noviembre de 2016, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al Ayuntamiento de Madrid por la presunta infracción del artículo 4 apartados 1 y 2 de la LOPD, tipificada como grave en el artículo 44.3.c) de dicha norma.

QUINTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas, en fecha 21/11/2016 el Ayuntamiento de Madrid presentó escrito de alegaciones en el que, en síntesis, manifestaba que:

<<…El artículo 4 de la LOPD establece lo siguiente: “(…)

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.”

El artículo 8 del Reglamento de desarrollo de la LOPD establece que: “(…)

3. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.”A la vista de esta regulación, se desprende que en la misma en ningún momento se utiliza el término finalidades distintas, sino que por el contrario, el término que se regula y recoge reiteradamente, es el término de incompatibilidad del tratamiento posterior de los datos, de tal manera que del mismo se puede deducir, que si con posterioridad a la recogida de los datos con una finalidad concreta y legítima, se utilizan los mismos con una finalidad compatible, la misma se podría realizar, siempre que dicho tratamiento se realice de igualmente de forma legítima, circunstancias que habrá que analizar en cada caso. (…)

CUARTA.- El artículo 9.3 de la Constitución proclama el principio de seguridad jurídica, principio nuclear del Estado de Derecho. El citado principio informa la aplicación de las


8/21

normas, resultado vedado llegar a interpretaciones o soluciones distintas en su aplicación a las que resultan del propio tenor literal de la disposición legal, cuando el sentido de la misma es claro. En este caso nos encontramos ante uno de esos supuestos en los que el tenor literal es claro, al regular dentro del principio de calidad de la LOPD de una forma reiterada el término de incompatibilidad del tratamiento posterior de los datos, y no referirse en ningún momento al término distinto.

La afirmación proclamada en el párrafo anterior cobra una mayor fuerza y vigor en el campo en el que nos movemos (el del derecho administrativo sancionador), en el que los principios de legalidad y tipicidad limitan especialmente la interpretación de las normas jurídicas, impidiendo interpretaciones expansivas de los conceptos o preceptos tipificadores o que dan fundamento a esa labor de tipificación. Aquí es el propio artículo 25.1 de la Constitución el que limita ampliar el ámbito objetivo de las conductas punibles sobre la base de la interpretación, siendo, en todo caso la solución el no considerar la conducta como punible si el encuadre de la misma parte de una interpretación de un precepto que da lugar a una solución diferente a la expresada en la norma (…)

Así, el principio de legalidad en el ámbito del Derecho sancionador comprende las exigencias de la existencia de una ley, de que la ley sea anterior al hecho sancionado y de que la ley describa un supuesto de hecho estrictamente determinado (Sentencias del Tribunal Constitucional 133/1987, de 21 de julio, o 246/1991, de 19 de diciembre). El principio de tipicidad aparece de este modo como una vertiente del mencionado principio de legalidad que enlaza estrechamente con el principio de seguridad jurídica proclamado en el artículo 9.3 de la Constitución (…)

Como recuerda la doctrina jurisprudencial constitucional reiterada y univoca, es absolutamente necesario que los preceptos jurídicos que definen las infracciones y sanciones permitan “predecir con el suficiente grado de certeza dichas conductas, y que se sepa a qué atenerse en cuanto a la aneja responsabilidad y a la eventual sanción”, tal y como aplica, entre otras muchas, la Sentencia del Tribunal Constitucional número 218/2005, de 12 de septiembre. Lo anterior persigue, como así lo expresa la citada Sentencia, evitar que el organismo sancionador pueda actuar frente a comportamientos que se sitúan fuera de las fronteras que marca la norma sancionadora(…)

A la vista de lo anteriormente expuesto, por este Área de Gobierno se considera, que el imputar al Ayuntamiento de Madrid la posible infracción grave al principio de calidad de datos regulado en el artículo 4 LOPD, en base a que se considera que la utilización por el Ayuntamiento de Madrid del dato personal de las direcciones de correo de los vecinos, que figuran en el fichero “Servicios Atención al Ciudadano”, para materializar al envío de una carta por el Delegado de este Área de Gobierno, mediante la que se informa de la puesta en funcionamiento de la nueva plataforma de participación ciudadana a través de la web Decide Madrid, es una finalidad distinta a la recogida con carácter general como la finalidad del referido fichero, es contrario al principio de tipicidad de la ley, dado que, en definitiva, los principios constitucionales de seguridad jurídica y de legalidad, impiden realizar una interpretación amplia del concepto legal finalidad incompatible y asimilado a finalidad distinta, cuando la misma sirva de base para la tipificación de una conducta punible (…)

Se considera, por tanto, que esta actuación se enmarca en una actividad pública municipal encaminada a gestionar nuevos servicios de participación ciudadana que


9/21

entra dentro de las funciones competenciales que el ordenamiento jurídico atribuye a los municipios y en concreto dentro del Ayuntamiento de Madrid dichas competencias se enmarcan dentro de este Área de Gobierno, por lo que no puede considerarse que los hechos imputados sean constitutivos de la infracción del artículo 4.2 de la Ley Orgánica 15/1999 LOPD.”…>>

SEXTO: Con fecha 4/01/2017, se acordó por el Instructor del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/07637/2015, así como la documental aportada por el Ayuntamiento de Madrid.

SÉPTIMO: Mediante escrito de 16/02/2017, se inicia el trámite de Audiencia de acuerdo con el artículo 82 de la ley 39/2015, poniendo de manifiesto el expediente al presunto responsable y concediéndole un plazo de 15 días hábiles para formular alegaciones y aportar cuantos documentos estime de interés. Dicho escrito fue entregado por el Servicio de Correos al denunciado el 24/02/2017. Con fecha 1/03/2017 el denunciado solicita copia de diversos documentos, que le fueron remitidos el 2/03/2017.

Con fecha 16/03/2017 se recibe escrito del denunciante comunicando: “…Tras la revisión de la documentación aportada por la Agencia Española de Protección de Datos, les comunico, en tiempo y forma, que no hay nuevas alegaciones que añadir a las que ya se presentaron en su día ante ese Organismo…”

OCTAVO: Con fecha 22 de marzo de 2017, el Instructor del procedimiento emitió Propuesta de Resolución, en el sentido de que por la Directora de la Agencia Española de Protección de Datos se declare que el Ayuntamiento de Madrid ha infringido lo dispuesto en el artículo 4 apartados 1 y 2 de la LOPD, lo que supone una infracción tipificada como grave en el artículo 44.3.c) de la citada norma, así como que se requiera la adopción de las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 4 de la mencionada Ley.

NOVENO: Con fecha 5/04/2017 tiene entrada en esta Agencia escrito de alegaciones del Ayuntamiento De Madrid frente a la citada propuesta de resolución en el que comunica:

<<…En consecuencia y en relación con el término de finalidad distinta que aparecía reflejado en la LORTAD, en nuestra opinión resulta evidente que con la nueva regulación a través de la LOPD dicho término desaparece y se cambia sustancialmente señalando que las finalidades no podrán ser incompatibles.

En este sentido, parece razonable pensar, que si el legislador hubiese entendido que “distinta” e “incompatible” quisieran significar lo mismo, hubiera dejado la primera de ellas, que era la que figuraba en la LORTAD, o hubiese incluido las dos en la nueva regulación realizada a través de la LOPD, pero no lo hace así.

A estos efectos, se considera conveniente atender a las enmiendas presentadas por los


10/21

distintos Grupos Parlamentarios al articulado del Proyecto de LOPD, y en este sentido se observa que el legislador tenía claro que “distinto” e “incompatible” son dos conceptos diferentes.

Así, en la enmienda 19 firmada por el Grupo Parlamentario Vasco se dice lo siguiente:

“Seis. El apartado 2 del artículo 4 queda redactado de la forma siguiente:

Los datos de carácter personal objeto de tratamiento automatizado no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos y científicos.

JUSTIFICACIÓN

Utilizamos la palabra “incompatible” porque es la misma que utiliza la Directiva Comunitaria en su artículo 6.1 apartado b). En un ejemplo muy claro un banco tiene datos de sus clientes con la finalidad de ofrecerles servicios financieros. Si este banco decidiese además ofrecerles a sus clientes un cierto tipo de seguro, este seguro tendría una finalidad distinta de aquélla para la que los datos fueron recogidos, que fue para ofrecer servicios financieros. En cambio en la Directiva sí se permitiría este caso, puesto que el banco ofrece un seguro a sus clientes, no se considera finalidad incompatible con la inicial.

Las empresas a lo largo de su historia van añadiendo actividades a su objeto inicial. Por ejemplo, a la venta de libros pueden añadir la venta de cursos a distancia, pero esto no es incompatible con la finalidad primera, en cambio sí es una finalidad distinta. Con la actual redacción estaría prohibido utilizar la base de datos propia de clientes con una finalidad distinta, aunque fuera una finalidad compatible con la actividad inicial de la compañía. Creemos que debemos tomar el texto de la Directiva y no restringir más de lo necesario la actividad de las empresas españolas”.

La Enmienda número 90 del Grupo Parlamentario Catalán (CIU) propone una redacción similar basándose en la adecuación de la redacción del precepto a la terminología utilizada en la Directiva.

La Ponencia redactó un nuevo texto en el que se incluía la enmienda del Grupo Parlamentario Vasco salvo en la referencia que hacía a un tratamiento automatizado, eliminando la palabra automatizado.

En consecuencia, parece que queda claro que para quien redactó la enmienda que modifica la Ley, «distinto» e «incompatible» son conceptos claramente diferentes. El legislador al utilizar «incompatible» lo hizo con fundamento y especialmente no quería que figurara la palabra «distinto» considerando que ambos conceptos eran diferentes.

Parece concluyente por tanto, que el legislador explica de una forma precisa lo que quiere decir y en este sentido la fundamentación jurídica de este cambio terminológico venía impuesta por la Directiva 95/46 del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de Datos Personales y a la libre circulación de estos datos. En el


11/21

considerando 28 de la Directiva se establece que “....; que los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados;...” (…)

No obstante lo anterior se considera la necesidad de traer a colación otra sentencia de la Audiencia Nacional que no se menciona en la propuesta de resolución y que es la sentencia de 21 de abril de 2004, en la que se cambia radicalmente el análisis jurídico y la Audiencia Nacional viene a fundamentar en derecho y considerar compatible con la finalidad del padrón municipal de habitantes el que se utilicen dichos datos por el Ayuntamiento para comunicarse con los vecinos y enviarles información institucional. Fundamenta la Audiencia Nacional lo siguiente: (…)

Como se desprende del análisis que hace la Audiencia Nacional, que a nuestro criterio además se adelanta en el tiempo a la regulación que va a quedar reflejada en el Reglamento (UE) 2016/617 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, lo determinante para valorar si el uso posterior de los datos que realice una Administración Publica obtenidos con una finalidad concreta es o no compatible con ese uso inicial, es valorar si se utilizan para el ejercicio de competencias municipales, análisis que en nuestro caso entendemos que quedó suficientemente justificado en nuestro escrito de alegaciones en el que se fundamentaba que el derecho constitucional de participación ciudadana conlleva que los poderes públicos, en este caso, el Ayuntamiento de Madrid tienen que garantizar a los ciudadanos el derecho de información sobre la gestión de las competencias y servicios municipales. (…)

En consecuencia, a través del Reglamento General de Protección de Datos, se viene a reiterar y completar la regulación de la LOPD y el RLOPD, teniendo que considerar que la cuestión que hay que valorar por tanto, es si el tratamiento posterior que se realice con los datos es compatible o no con la finalidad inicial de su recogida, y para ello habrá que tener muy presente, tal y como se recoge en el considerando 50 del Reglamento, si el tratamiento ulterior que se realice con los mismos, es necesario para el “cumplimiento de una misión de interés público o para el ejercicio de poderes públicos conferidos al responsable del tratamiento”…>>

HECHOS PROBADOS

PRIMERO: Ha tenido entrada en la AEPD, con fecha de 6 de noviembre de 2015, escrito presentado por el denunciante primero, en nombre y representación del Grupo Municipal del Partido Popular, en el que manifiesta que ha tenido conocimiento de que el Ayuntamiento de Madrid se ha dirigido a los ciudadanos mediante correo electrónico, solicitando a los vecinos y vecinas, que envíen ideas para mejorar la ciudad.

Las direcciones de correo se han obtenido de los modelos y formularios que los ciudadanos rellenan cuando realizan algún trámite ante la administración municipal y que el envío se ha producido sin que se hayan dado los supuestos a los que alude el artículo 11 de la Ley Orgánica 15/1999, consentimiento del interesado o estar en alguno de los establecidos en el apartado 2 de dicho artículo.


12/21

Que el envío se debe enmarcar en el proyecto de puesta en marcha en la página web denominado “decide.madrid.es”.

Se adjunta dicho escrito remitido desde la dirección de correo electrónico <[email protected]>, el día 3 de noviembre de 2015, Asunto: Dile lo que piensas a Manuela Carmena, en el que se informa de lo siguiente:

<<…Queridos vecinos y vecinas de Madrid:

Mientras leéis este correo miles de ciudadanos desde Vallecas hasta Malasaña están votando, colgando ideas o debatiendo cómo acercarnos un poquito más a un Madrid más accesible, más amable y mucho más humano.

Conseguir que el transporte público se adapte a nuestras necesidades, decidir dónde van nuestros impuestos, sugerir nuevas multas, quitarlas…

Hace pocas semanas, desde el Ayuntamiento pusimos en marcha una plataforma en la que cualquiera puede lanzarnos las propuestas que queréis que pongamos en marcha, y si consiguen los apoyos suficientes, organizaremos una votación donde toda la ciudad decida si llevarlas a cabo o no. En el Ayuntamiento nos comprometemos a asumir lo que decidáis y hacerlo realidad.


¿Te imaginas que una de tus propuestas lo consigue? ¡Cuéntanosla!


Si es la primera vez que entras en el portal necesitarás registrarte. Pero no te preocupes, cuando vayas a crear una propuesta o a apoyar una que ya exista aparecerá una ventana que te explicará cómo verificar tus datos. Es muy sencillo.

B.B.B.DelegadoÁrea de Gobierno de Participación Ciudadana, Transparencia y Gobierno Abierto.Ayuntamiento de Madrid

P.D. Puedes participar en este nuevo servicio del Ayuntamiento de Madrid a través de la anterior web, o desde cualquiera de las 26 oficinas de atención a la ciudadanía de Línea Madrid. La dirección de correo electrónico que hemos utilizado para hacerle envío de este mensaje consta en el fichero “Atención al Ciudadano”, (…). Le recordamos que usted puede ejercer en cualquier momento sus derechos de acceso, rectificación, cancelación y oposición sobre sus datos de carácter personal en poder del Ayuntamiento de Madrid (más información pulsando aquí)…>>

También, se aportan dos impresos para la realización de gestiones ante el Ayuntamiento de Madrid:

Solicitud de autorización servicio estacionamiento regulado (SER) Certificación de retribución en especie: en el que se debe cumplimentar diversa información, entre


13/21

otros, la dirección de correo electrónico.


Los datos recogidos serán incorporados y tratados en el fichero “Zonas de Estacionamiento Regulado” cuya finalidad es facilitar el estacionamiento en la ciudad de Madrid, mediante la gestión y explotación de las zonas de estacionamiento regulado. Los datos no podrán ser cedidos a terceros salvo en los supuestos previstos en el artículo 11 de la Ley Orgánica 15/1999. (…).

Gestión de multas de circulación: en el que se debe cumplimentar diversa información, entre otros, siendo la dirección de correo electrónico opcional.


Los datos personales recogidos serán incorporados y tratados por el Ayuntamiento de Madrid de acuerdo con la descripción del fichero/tratamiento que figura al final de esta información. Con carácter general los datos recogidos no podrán ser cedidos a terceros salvo que se cuente con el consentimiento del interesado, o se den alguno de los supuesto previstos en el artículo 11 de la Ley Orgánica 15/1999. El interesado podrá ejercer los derechos (…).

- Nombre del fichero/tratamiento: Infracciones de Movilidad.

- Finalidad del fichero/tratamiento: Ordenar y regular el uso y utilización de las vías públicas mediante la tramitación del procedimiento sancionador derivado de las infracciones a la Ordenanza de Movilidad, así como el seguimiento y control de las multas en las fases de tramitación (folios 1 a 8).

SEGUNDO: Con fecha de 17 de diciembre de 2015, tiene entrada en la AEPD escrito presentado por el segundo denunciante en el que manifiesta que ha recibido en su correo personal un escrito del Ayuntamiento de Madrid y que no es residente ni vecino de dicha ciudad ni le une a ella vínculo alguno.

Se adjunta con el escrito de denuncia el escrito remitido por correo electrónico desde el Área de Gobierno de Participación Ciudadana, de fecha 4 de noviembre de 2015, cuyo formato y contenido coincide con el descrito en el apartado anterior y escrito del denunciante dirigido al Ayuntamiento de Madrid, con fecha de registro en el Ayuntamiento de Torrelodones el 6 de noviembre de 2015, en el que manifiesta que ha recibido en su correo electrónico personal el escrito descrito anteriormente y solicita el derecho de acceso y de cancelación: Me comuniquen de dónde han obtenido mi correo electrónico personal y procedan al borrado de dicho correo de todos sus archivos (folios 10 a 14).

TERCERO: En el Registro General de Protección de Datos figuran inscritos diversos ficheros cuya titularidad corresponde al Ayuntamiento de Madrid y, entre otros, los siguientes:


14/21

“Servicios de Atención al Ciudadano”, con el código ***CÓD.1 y cuya finalidad es “facilitar la gestión de los contactos con los ciudadanos a través de los servicios de atención e información del Ayuntamiento de Madrid”.

“Zonas de estacionamiento regulado”: con el código ***CÓD.2, cuya finalidad es facilitar el estacionamiento en la ciudad de Madrid, mediante la gestión y explotación de las zonas de estacionamiento regulado.

“Infracciones de movilidad”: con el código ***CÓD.3, cuya finalidad es ordenar y regular el uso y utilización de las vías públicas mediante la tramitación del procedimiento sancionador derivado de las infracciones a las ordenanzas de movilidad, seguimiento y control de las multas en las diferentes fases de su tramitación.

“Gestión de procesos participativos”: con el código ***CÓD.4, cuya finalidad es gestionar los procesos participativos para el control de la habilitación de las personas que participan en los mismos (…).

Dichas circunstancias constan en la Diligencia de fecha de 7 de julio de 2016 (folios 195 a 211).

CUARTO: De las actuaciones realizadas por la Inspección de Datos, con fecha de 10 de febrero y de 14 de abril de 2016, en la sede del Área de Gobierno de Participación Ciudadana se desprende lo siguiente:

El Ayuntamiento de Madrid tiene implantado el servicio denominado “Línea Madrid” de atención presencial, telefónica y telemática, que permite al ciudadano realizar gestiones y trámites administrativos y también informan por correo electrónico acerca de servicios municipales.

Desde el Área de Gobierno de Participación Ciudadana se envió un escrito a los ciudadanos, mediante correo electrónico, en el que se les informaba de la nueva plataforma de participación ciudadana que se iba a poner en funcionamiento por el Ayuntamiento de Madrid y de la posibilidad de hacer uso de la misma.

La remisión del correo electrónico se realizó por el Organismo Autónomo Informática del Ayuntamiento de Madrid (IAM), a primeros de noviembre de 2015, desde una cuenta corporativa denominada <[email protected]>, en el pie de página del escrito consta el texto “La dirección de correo electrónico que hemos utilizado para hacerle envío de este mensaje consta en el fichero “Atención al Ciudadano”, (…). Le recordamos que puede ejercer en cualquier momento su derecho de acceso, rectificación, cancelación y oposición sobre sus datos de carácter personal en poder del Ayuntamiento de Madrid (más información pulsando aquí).

El origen de las direcciones de correo electrónico utilizadas para la citada remisión fue el fichero denominado “Servicios de Atención al Ciudadano” en el que constan datos de contacto de las personas que utilizan servicios municipales “Línea Madrid”, entre ellos, la dirección de correo electrónico que solamente es


mailto:[email protected]

15/21

obligatorio facilitarla para la gestión del Servicio de Estacionamiento Regulado (SER) de los residentes, siendo voluntaria para la gestión del resto de los servicios.

En todos los casos se incluye en el fichero “Servicios de Atención al Ciudadano” los datos relativos a la gestión solicitada o realizada y además: fecha, hora y operador que ha atendido al ciudadano.

Se remitieron un total de 223.000 correos electrónicos que se corresponden con los ciudadanos que facilitaron la dirección de correo de un total de 1.000.000 de registros con datos de los ciudadanos. Desde primeros de noviembre de 2015 hasta el 8 de febrero de 2016, se recibieron en el Ayuntamiento de Madrid “25” solicitudes de cancelación del fichero “Servicios de Atención al Ciudadano”. En algunos casos se solicita únicamente la cancelación del dato de correo electrónico.

Se dio respuesta a todos ellos por correo postal o por correo electrónico indicando que, atendiendo a su solicitud y en aplicación de los artículos 16 y 17 de la Ley Orgánica 15/1999, se ha eliminado del fichero “Servicios de Atención al Ciudadano” los datos solicitados.

El segundo denunciante ejercitó el derecho de acceso y cancelación del dato de la dirección de correo electrónico en todos los archivos, con fecha de registro en el Ayuntamiento de Madrid, el día 6 de diciembre de 2015. Con fecha de 10 de diciembre de 2015 se procede a la cancelación y se emitió respuesta atendiendo a la cancelación e informando que los datos los facilitó en la gestión de petición de Cita Previa que realizó el día 2 de febrero de 2015. Se adjunta copia de ambos escritos anexos al Acta de Inspección E/7637/2015 - I/1 documento nº 12.

Se ha verificado por la Inspección de Datos que en el fichero “Servicios de Atención al Ciudadano”, consulta realizada con perfil administrador, constan los siguientes datos del segundo denunciante: nombre, apellidos, NIF, teléfono móvil, nº documento D.D.D., creado el 2 de febrero de 2015 a las 14:29:16, por el operador *****1 y que fue actualizado el 10 de diciembre de 2015 a las 10:00:19 por el operador *****2. Si bien, no consta la dirección de correo electrónico.

Ante lo cual los representantes del Ayuntamiento de Madrid manifiestan que el segundo denunciante solicito a través de “Línea Madrid”, llamada al 010, cita para un servicio presencial en la Oficina de Atención al Contribuyente de Sanchinarro. .Asimismo, consta que fue atendido en la Oficina de Atención al Contribuyente de Sanchinarro en fecha 9 de febrero de 2015 y que no consta la dirección de correo electrónico por solicitud de cancelación del titular.

Por otra parte, realizada una consulta a la copia de seguridad, de fecha anterior al 30 de septiembre de 2015, se ha verificado que consta la dirección de correo electrónico del mismo con fecha de creación el 2 de febrero de 2015 y fecha de última actuación el 10 de diciembre de 2015.


16/21

La remisión de información sobre actividades y participación de los ciudadanos por parte de las Corporaciones Locales se especifica en la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, y en concreto en su artículo 69, del capítulo IV: Información y participación ciudadanas, que detalla lo siguiente: “1. Las Corporaciones locales facilitaran la más amplia información sobre su actividad y la participación de todos los ciudadanos en la vida local. 2. Las formas, medios y procedimientos de participación que las corporaciones establezcan en ejercicio de su potestad de autoorganización no podrán en ningún caso menoscabar las facultades de decisión que corresponden a los órganos representativos regulados por la ley”.

El Ayuntamiento de Madrid aprobó el Reglamento de Participación Ciudadana, de fecha 31 de mayo de 2004, que tiene por objeto “la regulación de los medios, formas y procedimientos de participación de los vecinos del municipio de Madrid en la gestión municipal, así como de las entidades ciudadanas (…)”. En el que se desarrollan, entre otros, los siguientes aspectos:

Artículo 4. Derecho general de información: “El Ayuntamiento de Madrid garantizará a los ciudadanos del municipio su derecho a la información sobre la gestión de las competencias y servicios municipales (...). El ejercicio de este derecho se podrá realizar a través de cualquiera de los medios de información general que el Ayuntamiento establezca, incluidos los medios propios de las nuevas tecnologías al servicio de la comunicación y de la información”.

Capitulo V. Del derecho a la consulta ciudadana. Artículo. 24. Términos de la consulta. La consulta popular, en todo caso, contemplará: - El derecho de todo ciudadano incluido en el Censo Electoral a ser consultado (…).

Por otra parte, en noviembre de 2015, se aprueba el Protocolo de actuación del servicio de propuestas ciudadanas en “Línea Madrid” para informar y facilitar la participación de los ciudadanos “Decide Madrid” que se estructura en tres niveles:

Primer nivel: solo permite participar en los debates y crear nuevas propuestas, para ello es necesario registrarse en el sitio web <http://decide.madrid.es> facilitando: nombre de usuario, correo electrónico, contraseña y marcar la casilla: aceptas las condiciones de uso.

A continuación se visualiza el texto “Por favor revisa tu correo electrónico te hemos enviado un enlace para confirmar tu cuenta. Una vez confirmado podrás empezar a participar”.

Segundo nivel: es necesario registrarse previamente en el primer nivel. Permite apoyar propuestas, además de participar en debates y crear nuevas propuestas. Para ello es necesario registrarse mediante documento de identificación (NIF, NIE, pasaporte, etc.), fecha de nacimiento y código postal. Además es obligatorio marcar la casilla acepto los términos de acceso al padrón ya que el Sistema comprueba si está empadronado en la ciudad de Madrid y si es mayor de 16 años.


17/21

También, el sistema obliga a facilitar el teléfono móvil para enviar un mensaje SMS con un código numérico para continuar el proceso de registro. Se visualiza el texto: Sólo usaremos tu teléfono para enviarte un código nunca te contactaremos.

A continuación es necesario facilitar al sistema el código recibido vía SMS.

Tercer nivel: es necesario haber realizado el segundo nivel. En este nivel se permite votar además de participar en debates y crear y apoyar propuestas. Para ello, se requiere una verificación del usuario, la cual se puede obtener mediante:

Por medio de la página web si el teléfono o la dirección del correo electrónico consta en el fichero “Servicio de Atención al Ciudadano”.

Solicitando a través de la página web el envío por correo postal del código de seguridad.

Presencialmente en cualquier Oficina de Atención al ciudadano.

Todos los ciudadanos pueden registrarse en el primer nivel, si bien para el segundo y el tercero es necesario estar empadronado en la ciudad de Madrid.

El citado procedimiento ha sido verificado por la Inspección de Datos.

Los datos personales de los ciudadanos que se han registrado en el sitio web <http://decide.madrid.es>, en la actualidad 75.000 ciudadanos, se incorporan al fichero denominado “Gestión de Procesos Participativos”. Periódicamente, desde el Ayuntamiento de Madrid se remiten comunicaciones informativas relativas a propuestas de inversión de la ciudad de Madrid a los usuarios de la web “Decide Madrid” (folios 16 a 193).

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.

II

El artículo 6.1 de la LOPD dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. El apartado 2 del mencionado artículo contiene una serie de excepciones a la regla general contenida en el 6.1 estableciendo que: “No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.”


18/21

La LOPD regula en su artículo 4 el principio de calidad de datos que resulta aplicable al presente procedimiento. Este artículo debe interpretarse de forma conjunta y sistemática. El citado artículo, señala lo siguiente:

“1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos”.

El “principio de calidad”, que prohíbe utilizar datos de carácter personal para una finalidad incompatible o distinta de aquella para la que los mismos fueron recabados, se recoge en el Título II de la LOPD, como uno de los principios básicos de la protección de datos. Las “finalidades” a las que se refiere el transcrito apartado 2, están ligadas con el “principio de pertinencia” o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto, los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

La LOPD contempla en su Título II (artículos 4 a 12) una serie de principios generales, entre los que destacan los del consentimiento y de calidad de datos, que constituyen el contenido esencial de este derecho fundamental y configuran un sistema que garantiza una utilización racional de los datos personales, que permite el equilibrio entre los avances de la sociedad de la información y el respeto a la libertad de los ciudadanos.

Dicho artículo 4.2 se inspira en el artículo 6.1.b) de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24/10/1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, que exige que los datos personales sean "recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines".

De lo expuesto cabe concluir que la vigente LOPD ha acentuado las garantías precisas para el tratamiento de los datos personales en lo relativo a los requisitos del consentimiento, de la información previa a éste, y de las finalidades para las que los datos pueden ser recabados y tratados.

En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado.

La Audiencia Nacional en Sentencia de 25 de julio de 2006 señala que “dichos principios sirven para delimitar el marco en el que debe desenvolverse cualquier uso o cesión de los datos de carácter personal y para integrar la definición de los tipos de infracción definidos en el artículo 44 de la LOPD, pues este precepto aborda la


19/21

tipificación de las distintas infracciones mediante una remisión a los principios definidos en la propia Ley”.

A este respecto, la misma Sentencia del Tribunal Constitucional, dictada el 30 de noviembre de 2000, en el Recurso número 1463/2000, señala, en su Fundamento de Derecho decimotercero: “...para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (art. 4.2 LOPD) supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites”.

La Audiencia Nacional se ha pronunciado en diversas ocasiones respecto al significado del término “incompatible” que emplea la LOPD para calificar el tratamiento realizado, a diferencia de la Ley Orgánica 5/1992 reguladora del Tratamiento Automatizado de Datos de Carácter Personal que aludía a finalidades “distintas”. Así en Sentencia de 17 de marzo de 2004, la Audiencia señala que “Aplicando de forma literalista el artículo 4.2 de la Ley Orgánica, quedaría privado de sentido y vaciado de contenido y para evitar este resultado indeseable esta Sala considera que lo que prohíbe el precepto es que los datos de carácter personal se utilicen para una finalidad distinta de aquella para la que han sido recogidos. “ (El subrayado es de la AEPD)

Contribuye también a precisar el alcance de la expresión que emplea la LOPD, “finalidades incompatibles”, la Sentencia de la Audiencia Nacional de 14 de junio de 2002, que declara: “La Sala entiende con la Agencia de Protección de Datos que la interpretación del término incompatible debe realizarse de forma sistemática poniendo en relación dicha expresión con el principio de autodeterminación que inspira la Ley. Pues una interpretación amplia del término incompatible sin tener en cuenta dicho principio lo vaciaría de contenido. Principio que implica que el afectado conozca o pueda conocer mediante el empleo de una diligencia razonable, que los datos por él facilitados van a ser empleados en consonancia con los fines para los que los facilitan”. (El subrayado es de la AEPD)

Tomando la expresión “finalidades incompatibles” que utiliza el legislador de la LOPD como sinónimo de “finalidades distintas”, se concluye que, entregados los datos para una finalidad concreta, el uso o tratamiento posterior que no esté en consonancia con la finalidad para la que fueron facilitados, y sobre la que el afectado no hubiera consentido, constituiría un desvío de finalidad que está vetada por el artículo 4.2 de la LOPD.

El Tribunal Constitucional en la STC 11/1998, de 13 de enero, se ocupó de un supuesto de desvío de finalidad y señaló al respecto, en relación con el artículo 18.4 de la Constitución Española, que “Este (…) consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a una persona - a la privacidad según la expresión utilizada en la Exposición de Motivos de la Ley Orgánica reguladora del Tratamiento Automatizado de Datos de Carácter Personal- pertenezcan o no al ámbito más estricto de la intimidad, para así preservar el pleno ejercicio de sus derechos. Trata de evitar que la informatización de los datos personales propicie comportamientos discriminatorios. Y aquí se utilizó un dato sensible, que había sido proporcionado con una determinada finalidad, para otra radicalmente distinta con menoscabo del legítimo


20/21

ejercicio del derecho de libertad sindical”. (El subrayado es de la AEPD)

En el caso concreto que nos ocupa en el presente expediente, la utilización por la citada entidad local del dato personal de las direcciones de correo de los vecinos para finalidades distintas de las que figuraban en el documento de obtención de dicho dato por parte de dicha entidad, y la remisión de un correo electrónico solicitando que envíen ideas para mejorar la ciudad a un destinatario que no es vecino de Madrid, suponen la comisión por parte del AYUNTAMIENTO DE MADRID de una infracción del art. 4 apartado 1 y 2 de la LOPD.

III

El artículo 44.3.c) de la LOPD, considera infracción grave: “Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave”

El principio de calidad de datos cuya vulneración se imputa al Ayuntamiento de Madrid se configura como uno de los principios básicos en materia de protección de datos.

Téngase en cuenta que las entidades que por su actividad están habituadas al tratamiento de datos personales deben ser especialmente diligentes y cuidadosas al realizar operaciones con ellos y deben optar siempre por la interpretación más favorable a la salvaguarda del derecho fundamental a la protección de datos como de forma reiterada sostiene la Audiencia Nacional, debiendo extremarse la diligencia para evitar que los posibles errores no se produzcan.

En el caso concreto que nos ocupa en el presente expediente, la utilización por la citada entidad local del dato personal de las direcciones de correo de los vecinos, para finalidades distintas de las que figuraban en el documento de obtención de dicho dato por parte de dicha entidad y la remisión de un correo electrónico solicitando que envíen ideas para mejorar la ciudad, incluso a un destinatario que no es vecino de Madrid, supone una desviación de la finalidad en el tratamiento de los datos del denunciante, que implica la vulneración del artículo 4.2 de la LOPD.

IV

Por último, el artículo 46 de la LOPD, “Infracciones de las Administraciones Públicas”, dispone que:

«1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.


21/21

2. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

3. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.»

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores”.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DECLARAR que el AYUNTAMIENTO DE MADRID ha infringido lo dispuesto en el artículo 4 apartados 1 y 2 de la LOPD, tipificada como grave en el artículo 44.3.c) de dicha norma.

SEGUNDO: Requerir al AYUNTAMIENTO DE MADRID, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 4 de la LOPD.

TERCERO: NOTIFICAR la presente resolución y el Anexo I al AYUNTAMIENTO DE MADRID.

CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre.

Contra esta resolución, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Mar España MartíDirectora de la Agencia Española de Protección de Datos


1/211/21 procedimiento nº ap/00059/2016 resoluciÓn: r/01084/2017 en el procedimiento de...

Documents