Esta semana la Agencia Española de Protección de Datos (AEPD) publicó por primera vez un listado con las administraciones públicas sancionadas durante el 2022 por incumplir sus requerimientos y medidas correctoras en materia de protección de datos.
El listado comprende tanto a aquellas administraciones públicas que no cumplieron con los requerimientos informativos de la AEPD, como a las que no adoptaron las medidas correctivas impuestas por el regulador español. Ambos incumplimientos son infracciones clasificadas como muy graves.
La AEPD tiene la facultad sancionadora en materia de protección de datos y privacidad, e inclusive puede actuar de oficio, como lo hizo recientemente con OpenIA, la empresa dueña de ChatGPT.
Tanto los individuos y empresas como los organismos y entidades públicas deben cumplir con la normativa en materia de protección de datos y privacidad.
Los Ayuntamientos, protagonistas del listado
El listado, que incluye más de 10 administraciones públicas, se encuentra copado por Ayuntamientos. Específicamente, son siete las administraciones locales a las que la AEPD sancionó durante el año pasado por incumplir la normativa en materia de protección de datos.
Destaca el Ayuntamiento de Burgos, al cual se le inició un procedimiento sancionador por enviar el correo electrónico y el DNI de una persona sin utilizar la opción de CCO (o copia oculta). En el marco de ese procedimiento, la AEPD le requirió para que en el plazo de un mes «actúe de conformidad con los principios de «limitación de la finalidad» e «integridad y confidencialidad» del art. 5.1 b) y f) de RGPD respectivamente.«. Sin embargo, el Ayuntamiento nunca respondió al requerimiento de la AEPD, lo que motivó la imposición de una sanción y su inclusión en el listado de incumplidores.
También figuran los Ayuntamientos de Majadahonda y Aranda de Duero, entre otros, ambos sancionados por no contar con un Delegado de Protección de Datos, infracción calificada como grave por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.
Otras administraciones públicas incluidas en el listado son la Dirección General de la Guardia Civil, el organismo autonómico «Establecimientos Residenciales para Ancianos de Asturias» y la Empresa Municipal Transportes Urbanos, S.A. de Gijón.
Obligación de nombrar un DPD: principal incumplimiento
Llamativamente, de las 14 administraciones públicas sancionadas por la AEPD por incumplir la normativa en materia de protección de datos, más de la mitad se encuentran en el listado por no dar cumplimiento al art. 37 del Reglamento General de Protección de Datos, que impone a las administraciones públicas la obligación de nombrar un Delegado de Protección de Datos.
El resto de las administraciones públicas incluidas por la AEPD en el listado, fueron sancionadas por incumplir el art. 58.2 del Reglamento General de Protección de Datos; es decir, básicamente, por no acreditar el cumplimiento de las medidas correctivas impuestas.
