La Agencia Española de Protección de Datos (AEPD) ha creado un nuevo apartado en su web en la que detalla qué instituciones públicas han ignorado sus requerimientos. El Reglamento General de Protección de Datos (RGPD), la norma comunitaria por cuyo cumplimiento vela el organismo de control español, no contempla sanciones económicas a las instituciones, solo apercibimientos.

Esos apercibimientos pueden producirse en caso de que dichas Administraciones ignoren los requerimientos de la AEPD. En el nuevo apartado disponible en su web, la entidad destaca que ha venido observando cómo muchas Administraciones Públicas, "principalmente las administraciones locales", "no atienden, tal y como deberían algunas de sus órdenes".

"Por este motivo se ha querido destacar esta situación". En la web aparecen las Administraciones que fueron sancionadas por apercibimiento en 2022. Son en total 11 ayuntamientos, varias empresas municipales y la Dirección General de la Guardia Civil. La AEPD detalla que esas sanciones de apercibimiento llegan después de un dilatado proceso.

Proceso en el cual los organismos requeridos han ignorado en múltiples ocasiones los requerimientos de la AEPD. La Agencia suele dictar una orden "para que en un tiempo determinado se adecúe un tratamiento de datos personales a la legalidad". "Cuando el responsable no atiende", continúa, "la Agencia notifica un recordatorio".

"Si después del mismo sigue sin actuar, entonces se inicia un procedimiento sancionador por la falta de acreditación de las medidas correctivas impuestas", algo que aparece tipificado en el RGPD en su artículo 83 calificado como "muy grave".

La Guardia Civil se negó a modificar el proceso por el que se notificaba la suspensión de licencias de armas a sus agentes

Las instituciones que figuran como sancionadas en 2022 por la AEPD son varias y diversas, y no son únicamente administraciones locales. Aunque los ayuntamientos representan la mayoría de entidades sancionadas, también hay empresas municipales y autonómicas y lo que más llama la atención, la Dirección General de la Guardia Civil.

El máximo órgano del Instituto Armado fue apercibido el año pasado por la AEPD tras ignorar los requerimientos de Protección de Datos después de que esta instruyera un caso que se remonta a 2018.

Fue en aquel año cuando, según denunció un agente del cuerpo, sus datos personales fueron remitidos a través de un correo genérico de la Unidad de Intervención de Armas de la Guardia Civil de Almería a otro correo genérico de la Unidad del Puesto de Canjáyar, un pueblo de la Alpujarra almeriense.

En aquel correo aparecía información sensible del agente involucrado, al que se le pretendía notificar su suspensión de la licencia de armas. Sin embargo, dicha suspensión no le fue notificada personalmente, sino que se dirigió a un correo genérico de su departamento, por lo que esa información fue accesible a "personas indeterminadas y numerosas".

La AEPD notificó una sanción inicial a la Guardia Civil a finales de junio de 2021. En julio de 2021 el responsable de Protección de Datos de la Benemérita respondió a la AEPD que los usuarios que accedían a los correos estaban obligados a guardar confidencialidad. En noviembre de ese año la AEPD requirió de nuevo a la Guardia Civil que notificara sus medidas correctoras.

En diciembre la Guardia Civil insistió en lo mismo con lo que la AEPD volvió a exigir en mayo de 2022 que el cuerpo modificase esos procesos para notificar suspensiones de licencias de armas, a lo que este se negó. Por eso, en julio del año pasado la directora de la AEPD inició un nuevo expediente sancionador.

Las Administraciones Públicas españolas sancionadas en 2022 por la AEPD

Además del llamativo ejemplo de la Dirección General de la Guardia Civil, entre las instituciones sancionadas hay empresas autonómicas como la responsable de residencias de ancianos en Asturias, que vio cómo se iniciaba un proceso en su contra a instancias del sindicato CSI-F por haber dejado un documento accesible en su web con un listado de interinos y sus datos personales.

También la empresa municipal de transportes de Gijón, después de que un candidato a un puesto de trabajo no estuviese conforme con los resultados del proceso de selección y solicitara acceso a la grabación de su examen práctico de conducir. La compañía municipal no respondió a este requerimiento de derecho de acceso a datos, amparado por el RGPD.

El resto de organismos sancionados sí son ayuntamientos propiamente dichos. Algunos de grandes ciudades, como Burgos, Majadahonda o Algete, y otros de municipios más pequeños. En total son 11, contando con los ayuntamientos de San Andrés del Rabanedo, Moncada, Aranda de Duero, Arrecife, Cambre, Llanos de Aridane, Oria y Monesterio.

La mayoría de estos ayuntamientos han sido sancionados por la AEPD por no haber respondido al requerimiento de la agencia en la que se le solicitaba que informaran de quiénes eran sus delegados de Protección de Datos. En estos casos la Subdirección General de Promoción y Autorizaciones de la AEPD requirió a los ayuntamientos en 2 notificaciones dándoles 10 días de plazo para responder.

La necesidad de designar delegados de Protección de Datos es algo que exige el RGPD. 

Hace escasas semanas, la propia AEPD, y a nivel europeo el Comité Europeo de Protección de datos —EDPB, por sus siglas en inglés— iniciaron un procedimiento para comprobar que los actuales delegados de Protección de Datos están lo suficientemente formados para atender las necesidades del organismo de control y por extensión, el cumplimiento del mismo Reglamento.

Esta operación implicará el examen de 30.000 delegados de Protección de Datos en todo el país.