CONSULTA
Con ocasión de la práctica de una notificación de embargo de salario practicado en el domicilio del deudor y habiendo sido recibida por la madre del interesado en ausencia de aquél, nos trasladan la queja por vulneración de la protección de datos al entregarle la documentación de manera personal (a través de notificador) sin sobre cerrado. ¿Crees que el deudor tiene razón? ¿se vulnera realmente la protección de datos por practicar la notificación entregando la documentación de manera "abierta"?.
RESPUESTA
1.- Conforme al art 111.1 LGT la madre se considera persona legitimada para para recibir las notificaciones pues “ Cuando la notificación se practique en el lugar señalado al efecto por el obligado tributario o por su representante, o en el domicilio fiscal de uno u otro, de no hallarse presentes en el momento de la entrega, podrá hacerse cargo de la misma cualquier persona que se encuentre en dicho lugar o domicilio y haga constar su identidad, así como los empleados de la comunidad de vecinos o de propietarios donde radique el lugar señalado a efectos de notificaciones o el domicilio fiscal del obligado o su representante.”
2.-Existe una Resolución de la AEPD de 24 de febrero de 2010 en la que se condena al Ayuntamiento de Coria del Río por notificar en sobre abierto datos especialmente protegidos , considerándose que esta forma de notificar vulnera el deber de secreto recogido en el art 10 LOPD .
Ahora bien se condena al Ayuntamiento porque los agentes notificadores , al ir en sobre abierto la notificación , tuvieron acceso al contenido del texto en el que existían datos referentes a la salud y que están especialmente protegidos (art 7 LOPD).
Al ayuntamiento se le sanciona por falta muy grave.
Siguiendo la doctrina dimanante de esta resolución estaríamos ante una infracción del deber de secreto conforme al art 10 LOPD ; se considera infracción grave las vulneración del deber de secreto sobre datos correspondientes a la Hacienda Pública (art 44.3.g LOPD) .
Los datos referidos a la Hacienda Pública no se consideran especialmente protegidos.
3.- En mi opinión y teniendo en cuenta la Resolución de la AEPD , la vulneración del deber de secreto no se produce respecto a la madre que recibe la notificación en el domicilio del contribuyente acreditando su identidad (persona legitimada para recibir la notificación) sino respecto a los agentes notificadores que han tenido acceso al contenido de la notificación del embargo de salario.
4.- La AEPD recomienda en la citada resolución no utilizar el “sobre abierto”.
Resolución A.E.P.D. R/00027/2010, de 24 de febrero
RESUMEN:
Protección de datos de carácter personal. Notificación a un particular de un Decreto de una Alcaldía que contiene información íntima relativa a la salud del notificado: no se lleva a cabo en sobre cerrado. Procedimiento de notificación personal: revelación de los datos a la persona del notificador. Deber de secreto profesional de los responsables de ficheros automatizados. Datos especialmente protegidos: datos de la salud. Los datos relativos a la salud únicamente pueden ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o medie consentimiento del afectado (escrito o no). Infracción muy grave.
RESOLUCIÓN
En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00066/2009, instruido por la Agencia Española de Protección de Datos a la entidad AYUNTAMIENTO DE CORIA DEL RIO, vista la denuncia presentada por D. A.A.A., y en base a los siguientes,
ANTECEDENTES
Primero.-Con fecha de 13 de octubre de 2008 tiene entrada en esta Agencia un escrito de D. A.A.A. en el que declara el día 1 de septiembre de 2008 se persona en su despacho profesional una empleada del Ayuntamiento de Coria del Río, la cual no es funcionaría, ni personal fijo si bien tiene suscrito un contrato laboral temporal que le hace entrega de un Decreto de Alcaldía, el cual se podía leer todo su contenido, al no venir incluido en ningún tipo de sobre ni con dispositivo alguno que impidiera leer su contenido, con fecha de salida 31/7/2008.
En el punto 3o del mentado Decreto de Alcaldía se hace una relación del cuadro clínico residual que padezco, al igual que las limitaciones orgánicas y funcionales, información íntima que estaba al alcance de cualquier persona y más la empleada que entrega el Decreto de Alcaldía.
Segundo.-A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicita información al AYUNTAMIENTO DE CORIA DEL RIO, teniendo conocimiento de que:
1. Los representantes del Ayuntamiento de Coria del Río envían dos informes referidos a la forma en que se notificó al denunciante el Decreto n.° ***/2009 el día 14 de enero de 2009, según figura en el recibí de la copia que remiten.
2. En estos informes manifiestan que "la persona que procede a notificar es empleada del Ayuntamiento, categoría (subalterno-notificador), y que dado que se trataba de notificación personal, se procedió a efectuarla reservando la parte donde se contienen datos personales del resto, dejando únicamente el nombre y apellidos de la persona que debía recibir la notificación".
En el otro informe se expresa: "Normalmente se introduce en sobre cerrado, aún cuando al tratarse de notificación personal, procedió a abrir el sobre y notificar encontrándose al descubierto sólo el nombre de la persona notificada".
3. Según estas manifestaciones el documento se entregó al destinatario sin sobre, y en la documentación que adjuntan, se encuentran las tres hojas que constituyen la resolución notificada al denunciante con el recibí firmado en la última página y se envían dobladas de manera que el receptor sólo podía ver la parte donde debía firmar. En esta resolución se mencionan datos de salud del denunciante.
4. La presente denuncia con entrada en esta Agencia el 13 de octubre de 2008, se refiere a la notificación del Decreto n° ***/2008 que, según menciona el denunciante, le fue entregada el día 1 de septiembre de 2008, abierta, sin estar incluida en sobre alguno y que contiene los mismos datos de salud que la notificación efectuada el 14 de enero de 2009 de la que informan los representantes municipales.
Tercero.-Con fecha 21 de septiembre de 2009 el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al AYUNTAMIENTO DE CORIA DEL RIO por la presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como muy grave en el apartado g) del artículo 44 .4 de dicha norma.
Cuarto.-Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas, en fecha 16 de octubre de 2009, el AYUNTAMIENTO DE CORIA DEL RIO presentó escrito de alegaciones en el que, en síntesis, manifestaba que:
"Debemos negar en rotundidad las meras manifestaciones subjetivas que se sostienen en el escrito de denuncia, conforme a ello, poner en evidencia la inexistencia de infracción alguna sancionable por la citada Ley en el presente supuesto, inexistiendo causa alguna de imputación frente a la presente administración local.
El Certificado de Secretario del Ayuntamiento, que se adjunta al presente escrito como documento n° 1, evidencia la inexistencia de causa de afección al secreto profesional en el procedimiento de notificación personal. (...) Tampoco existe presupuesto de vulneración alguno en el contenido de informe que se cita de contrario, por cuanto, respecto al proceder en notificación, falta a la verdad la denuncia al indicar que la notificación se realizó sin sobre ninguno. Cuando los informes técnicos al respecto aclaran que la documentación objeto de entrega y notificación se contenía en sobre, y únicamente la persona del notificadory en presencia del ahora denunciante puso a disposición del mismo la hoja correspondiente a la firma del recibí, sin que por la misma deba entenderse el público contenido del DOCUMENTO objeto de notificación, de los datos personales del notificado; ni mucho menos, la infracción al secreto en las comunicaciones personales.
Aún para el hipotético e imposible supuesto en que se apreciarse defecto formal de afección en el proceso de notificación, no existe tampoco base a la gradación de dicha supuesta infracción en términos del art. 44.4.g) de la LOPD." Concluye proponiendo pruebas y suplicando se resuelva según lo solicitado.
Quinto.-Con fecha 2 de noviembre de 2009 se acordó por el Instructor del procedimiento la apertura de un período de práctica de pruebas, en el que se acordó lo siguiente:
1. Se dan por reproducidos a efectos probatorios la denuncia interpuesta por D. A.AA. y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante el AYUNTAMIENTO DE CORIA DEL RIO, y el Informe de actuaciones previas de Inspección que forman parte del expediente E/00036/2009.
2. Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio AP/00066/2009 presentadas por el AYUNTAMIENTO DE CORIA DEL RIO, y la documentación que a ellas acompaña.
3. En relación con los medios de prueba propuestos por el AYUNTAMIENTO DE CORIA DEL RIO en sus alegaciones al acuerdo de inicio, hay que indicar que el artículo 17.3 del mencionado Real Decreto 1398/1993 dispone que se entiende por pruebas aquellas distintas de los documentos que los interesados puedan aportar en cualquier momento de la tramitación del procedimiento. En este caso se solicita la aportación de documentación que obra en poder del mismo ayuntamiento y que puede aportar en su defensa en cualquier momento del procedimiento.
Sexto.-Con fecha 11 de enero de 2010, el Instructor del procedimiento emitió Propuesta de Resolución, en el sentido de que por el Director de la Agencia Española de Protección de Datos se declare que el AYUNTAMIENTO DE CORIA DEL RIO ha infringido lo dispuesto en el artículo 10 de la LOPD, lo que supone una infracción tipificada como muy grave en el artículo 44.4.g) de la citada norma, así como que se requiera la adopción de las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la mencionada Ley.
De acuerdo con lo establecido en el artículo 19.1 del Real Decreto 1398/1993 de 4 de agosto, Reglamento del procedimiento para el ejercicio de la potestad sancionadora, en dicha propuesta de resolución se concedió un plazo de QUINCE DÍAS hábiles para que las partes interesadas en el procedimiento pudieran alegar cuanto considerasen para su defensa y presentasen los documentos e informaciones que estimasen pertinentes, así como se detallaba, en un anexo adjunto a esa propuesta de resolución, la relación de documentos obrantes en el procedimiento, a fin de que las partes interesadas en el procedimiento pudieran obtener copia de los que estimasen convenientes.
Séptimo.-Concedido el plazo citado para formular alegaciones, éstas se recibieron en esta Agencia en fecha 18 de marzo de 2009. En ellas se reiteran básicamente los argumentos ya expuestos en anteriores alegaciones.
"No existe presupuesto alguno para la concreción del supuesto de "violación del secreto" en la notificación al interesado objeto de la presente denuncia.
Tampoco existe presupuesto de vulneración alguno en el contenido de informe que se cita de contrario, por cuanto, respecto al proceder en la notificación, falta a la verdad la denuncia al indicar que la notificación se realizó sin sobre ninguno.
Los informes técnicos aportados en el presente expediente, y totalmente desconocidos y desatendidos en la presente instrucción, al respecto, detallan y clarifican, que la documentación objeto de entrega y notificación se contenía en sobre, y únicamente la persona del notificador y en presencia del ahora denunciante puso a disposición del mismo la hoja correspondiente para la firma del recibí, sin que por la misma deba entenderse el público contenido del DOCUMENTO objeto de notificación, de los datos personales del notificado; ni mucho menos, la infracción al secreto en las comunicaciones personales.
Aún para el hipotético e imposible supuesto en que se apreciarse defecto formal de afección en el proceso de notificación, no existe tampoco base a la gradación de dicha supuesta infracción en términos del art. 44.4.g) de la LOPD.
Interesa en todo caso la propuesta de los siguientes medios de prueba a efecto de adverar los extremos sostenidos por esta defensa, reiterando la misma petición ya realizada en las alegaciones precedentes, y que tampoco ha merecido atención alguna en la presente instrucción:
- Testifical de empleado público personal notificador.
- Informe Secretario del Ayuntamiento que consta aportado en el expediente..." Concluyen las alegaciones solicitando se resuelva el procedimiento con la desestimación de la causa de denuncia y su archivo.
HECHOS PROBADOS
Primero.-El denunciante ha declarado que el día 1 de septiembre de 2008 se personó en su despacho profesional una empleada del Ayuntamiento de Coria del Río que le hizo entrega del Decreto de Alcaldía n° ***/2008 de 30 de julio de 2008, del que se podía leer todo su contenido, al no ir incluido en ningún tipo de sobre ni con dispositivo alguno que impidiera leer su contenido.
En el punto 3o del Decreto de Alcaldía se hace una relación del cuadro clínico residual que padece, y de sus limitaciones orgánicas y funcionales, información que estaba al alcance de cualquier persona y en cualquier caso estaba al alcance de la empleada que entregó el Decreto de Alcaldía, (folios 1 a 3).
Segundo.-Los representantes del Ayuntamiento de Coria del Río en respuesta a la solicitud de información realizada por la Inspección de esta Agencia, envían dos informes referidos a la forma en que se notificó al denunciante el Decreto n° ***/2009 el día 14 de enero de 2009, según figura en el recibí de la copia que remiten.
En estos informes manifiestan que "la persona que procede a notificar es empleada del Ayuntamiento, categoría (subalterno-notificador), y que dado que se trataba de notificación personal, se procedió a efectuarla reservando la parte donde se contienen datos personales del resto, dejando únicamente el nombre y apellidos de la persona que debía recibir la notificación". En el otro informe se expresa: "Normalmente se introduce en sobre cerrado, aún cuando al tratarse de notificación personal, procedió a abrir el sobre y notificar encontrándose al descubierto sólo el nombre de la persona notificada". (folios 9 a 18).
Tercero.-Según las manifestaciones del Ayuntamiento, el documento se entregó al destinatario en abierto, sin sobre, y en la documentación que adjuntan se encuentran las tres hojas que constituyen la resolución notificada al denunciante con el recibí firmado en la última página y se envían dobladas de manera que el receptor sólo podía ver la parte donde debía firmar. En esta resolución se mencionan datos de salud del denunciante, (folios 16 a 18).
Cuarto.-La presente denuncia con entrada en esta Agencia el 13 de octubre de 2008, se refiere a la notificación del Decreto n° ***/2008 que, según menciona el denunciante, le fue entregada el día 1 de septiembre de 2008, abierta, sin estar incluida en sobre alguno y que contiene los mismos datos de salud que la notificación efectuada el 14 de enero de 2009 del Decreto n° ***/2009, de la que informan los representantes municipales, (folios 3 y 16 a 18).
FUNDAMENTOS DE DERECHO
I.-Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
II.-El artículo 10 de la LOPD, establece: "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo." Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
En este sentido, la Sentencia de la Audiencia Nacional de fecha 18/01/02, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo: "El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable ... no puede revelar ni dar a conocer su contenido teniendo el "deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo" (artículo 10 citado). Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto." "Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un "instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ¡legítimo del tratamiento mecanizado de datos" (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino" (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, "es decir, el poder de resguardar su vida privada de una publicidad no querida".
El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. El deber de secreto profesional que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el "deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo". Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
En el presente caso, ha quedado acreditado que el Ayuntamiento de Coria del Río, vulneró el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD al notificar al denunciante en septiembre de 2008 un Decreto de Alcaldía en el que se podía leer su contenido íntegro que incluía datos de salud del denunciante, al no ir incluido en ningún tipo de sobre ni con dispositivo alguno que impidiera leer su contenido.
III.-La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores, por infracción del artículo 10 de la LOPD, por incumplir el deber de secreto sobre los datos de carácter personal incorporados a ficheros.
En el presente procedimiento, se imputa al Ayuntamiento de Coria del Río la vulneración del deber de guardar secreto sobre los datos de salud del denunciante.
El artículo 7 de la LOPD establece un régimen específicamente protector diseñado por el Legislador para aquellos datos personales que proporcionan una información de esferas más íntimas del individuo, a los que se califica en el citado artículo como "Datos especialmente protegidos". Para las diversas categorías de éstos, el precepto citado establece específicas medidas para su protección. En el supuesto de los datos de salud, el Legislador español, siguiendo al Consejo de Europa (artículo 6 del Convenio 108/81, de 28 de enero, del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal) y al Derecho Comunitario (artículo 8 Directiva 95/46/CEE, del Parlamento y del Consejo, de 24 de octubre relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos), los considera como especialmente protegidos y prevé que sólo puedan ser recabados, tratados y cedidos, cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente. Ello quiere decir que, solamente en estos supuestos específicos, dichos datos podrán ser tratados.
El artículo 7.3 señala, para el tratamiento de los datos de salud, la exigencia de consentimiento expreso del afectado, pero no la relativa a que deba constar por escrito. Cabe, en consecuencia, admitir la posibilidad de que la manifestación del consentimiento expreso no conste por escrito. Sin embargo, esta posibilidad debe ponerse en relación con los elementos que integran la definición de consentimiento recogida en el artículo 3. h) de la LOPD, que dispone que lo será "Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen". De la citada definición resulta particularmente relevante el extremo de que la manifestación de voluntad haya de ser informada, pues sin él difícilmente concurrirán los otros, en especial que sea inequívoca y específica.
La letra a) del artículo 5.1 de la LOPD menciona específicamente que debe informarse de las finalidades de la recogida de los datos, las cuales, según el artículo 4.1 de la misma norma deben ser "determinadas, explícitas y legítimas".
En consecuencia, la posibilidad de admitir un consentimiento expreso que no conste por escrito para el tratamiento de los datos de salud, se encuentra condicionada a que pueda acreditarse que es una manifestación de voluntad libre, inequívoca y específica, que se presta una vez que se ha tenido conocimiento de una concreta información entre la que, necesariamente, ha de constar la finalidad determinada, explícita y legítima del tratamiento que se va a realizar sobre los datos personales del afectado. Lógicamente, la concurrencia de los extremos expuestos deberá constatarse en cada caso concreto.
En las alegaciones al acuerdo de inicio del presente procedimiento se adjunta un certificado del Secretario del Ayuntamiento que expone: "es costumbre en el Departamento de Recursos Humanos hacer las notificaciones que contengan datos personales en sobre cerrado, no obstante para poder proceder a la firma del RECIBÍ, es necesario su apertura y presentación ante el empleado público".
Ha quedado acreditado que el Ayuntamiento imputado realizó las notificaciones de los Decretos de Alcaldía números ***/2008 y ***/2009 en fecha 1 de septiembre de 2008 y 14 de enero de 2009 respectivamente, con datos de salud del denunciante, sin estar incluidos en un sobre que impidiera el acceso de los mismos por terceros.
Esta forma de entrega supone el acceso a la información contenida en el acto de notificación por terceros ajenos al destinatario de la misma, que en este caso incluye datos personales referentes a su salud.
Para solventar esta situación sería recomendable la utilización de un sistema de notificación con acuse de recibo externo como el usado por el servicio de correos o algún otro que permita una descripción más completa del contenido de la notificación sin necesidad de desvelar su texto completo. En caso de que las especiales circunstancias de estas notificaciones precisen una constancia exhaustiva de la recepción de cada una de las hojas que componen el envío, se considera necesario habilitar un medio que salvaguarde la confidencialidad de la información contenida. En este sentido puede sugerirse la inclusión de un sobre, dirigido a la unidad receptora de la notificación, donde el destinatario podrá introducir las hojas una vez firmado el recibí, o cualquier otro método que impida la difusión de los datos de carácter personal que hagan referencia a su salud.
IV.-El Ayuntamiento imputado alega a la propuesta de resolución que "los informes técnicos aportados en el presente expediente, y totalmente desconocidos y desatendidos en la presente instrucción, al respecto, detallan y clarifican, que la documentación objeto de entrega y notificación se contenía en sobre, y únicamente la persona del notificador y en presencia del ahora denunciante puso a disposición del mismo la hoja correspondiente para la firma del recibí, sin que por la misma deba entenderse el público contenido del DOCUMENTO objeto de notificación, de los datos personales del notificado; ni mucho menos, la infracción al secreto en las comunicaciones personales." En la presente resolución no se han desatendido los informes técnicos de ese Ayuntamiento como manifiesta en sus alegaciones, al contrario, se ha tenido muy en cuenta el informe del Secretario del Ayuntamiento de 16 de octubre de 2009 que certifica que "es costumbre hacer las notificaciones (...) en sobre cerrado, no obstante para proceder a la firma del RECIBÍ, es necesario su apertura y presentación ante el empleado público". Este es precisamente, el procedimiento de notificación que se conoce y atiende por parte de esta Agencia en el informe técnico aportado en este expediente, el que se considera que vulnera el deber de secreto y en relación con el que se han realizado las recomendaciones precedentes. Si el notificador abre el sobre que contiene un documento con datos personales del denunciante, aún cuando sea en su presencia, y se lleva el documento, una vez abierto y firmado por el destinatario, como justificante de la entrega, como acuse de recibo, ya se ha producido el acceso por un tercero a los datos personales del denunciante.
Con esta forma de proceder en las notificaciones del Departamento de Recursos Humanos del Ayuntamiento de Coria del Río, tanto denunciada por el afectado como declarada por la entidad imputada en sus informes técnicos, se considera que se produce una efectiva revelación de datos personales y que existe la infracción imputada en el presente procedimiento.
Queda por tanto acreditado que los datos personales relacionados con la salud del denunciante, respecto de los que había deber de secreto profesional por parte del Ayuntamiento de Coria del Río, han sido revelados, a la persona del notificador.
En este sentido es necesario reiterar las recomendaciones realizadas con el objetivo de que se adopten las medidas de seguridad adecuadas que impidan que cualquiera ajeno al afectado pueda conocer el contenido completo de la resolución que contiene datos de salud del denunciante al mencionar el cuadro clínico que padece.
Manifiesta el Ayuntamiento en las alegaciones a la propuesta de resolución, que propone medios de prueba y reitera la petición de anteriores alegaciones que no ha merecido atención en la presente instrucción. A este respecto cabe contraponer que el día 2 de noviembre de 2009 se abrió periodo de práctica de pruebas donde se indicaba que se admitían los documentos aportados en la tramitación del expediente y entre ellos, el informe del Secretario del Ayuntamiento que, como ya se ha mencionado, se ha tenido en cuenta para esta resolución. También se indicaba en la práctica de pruebas que el artículo 17.3 del Real Decreto 1398/1993 dispone que se entiende por pruebas aquellas distintas de los documentos que los interesados puedan aportar en cualquier momento de la tramitación del procedimiento. En este caso se solicita la aportación de documentación que obra en poder del mismo ayuntamiento y que puede aportar en su defensa en cualquier momento del procedimiento.
En este sentido, la aportación de "testifical de empleado público personal notificador", no se considera prueba, tal y como se indicó en el citado acuerdo de apertura de práctica de pruebas, sino que se trata de documentos que los interesados pueden aportar en cualquier momento de la tramitación del procedimiento, sin que por el Ayuntamiento imputado se haya aportado la documentación propuesta en su defensa.
V.-La LOPD califica la vulneración del deber de secreto como infracción leve, grave o muy grave, dependiendo del contenido de la información facilitada al tercero. Así, el artículo 44.4.g), califica como muy grave: "La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas." Ha quedado acreditado en el presente procedimiento que el Ayuntamiento de Coria del Río facilitó el acceso a los datos de salud del denunciante (en el punto 3o del Decreto de Alcaldía que se le notifica, se hace una relación del cuadro clínico residual que padece, y de sus limitaciones orgánicas y funcionales), datos incluidos en el artículo 7 de la LOPD.
De acuerdo con lo señalado, se considera que el Ayuntamiento de Coria del Río ha incurrido en la infracción muy grave tipificada en el artículo 44.4.g) de la LOPD.
Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE:
Primero.-DECLARAR que AYUNTAMIENTO DE CORIA DEL RIO ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de la citada Ley Orgánica.
Segundo.-REQUERIR al AYUNTAMIENTO DE CORIA DEL RIO, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD.
Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes.
Tercero.-NOTIFICAR la presente resolución al AYUNTAMIENTO DE CORIA DEL RIO y a D. A.A.A..
Cuarto.-COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 46.4 de la LOPD.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
No hay comentarios:
Publicar un comentario