¿Hasta qué punto la normativa sobre transparencia justifica la publicación de datos personales? ¿Dónde se encuentra el equilibrio entre el derecho a la información pública y la protección de datos? Y, sobre todo, ¿Qué responsabilidades tienen las administraciones públicas para garantizar que ambos derechos coexistan sin colisionar?
Un caso reciente pone de nuevo este conflicto en el centro del debate. En el marco de la aprobación inicial del presupuesto municipal para el ejercicio 2022, un ayuntamiento publicó en su sitio web un documento que, además de detallar la plantilla y la relación de puestos de trabajo (RPT), incluía información personal de los empleados públicos, como nombre, apellidos, situación laboral, grupo administrativo, salario base, complementos, antigüedad y el total de remuneraciones.
Ante estos hechos la parte reclamante interpuso denuncia ante la AEPD. Llama especialmente la atención que el reclamante además de aparecer en la relación publicada es el Delegado de protección de datos del Consistorio, quién reclamó la retirada de la información tras haber recibido numerosas quejas por parte de los trabajadores afectados.
ARGUMENTACIÓN INSUFICIENTE DEL AYUNTAMIENTO
El Ayuntamiento por su parte justificó esta acción amparándose en la normativa aplicable, como el Real Decreto Legislativo 781/1986, de 18 de abril, por el que se aprueba el texto refundido de las disposiciones legales vigentes en materia de Régimen Local y el Real Decreto Legislativo 2/2004 por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas Locales, que exigen la publicación de las plantillas, las RPT y los proyectos presupuestarios para garantizar la transparencia y el control ciudadano.
Expresamente, aduce el Ayuntamiento el artículo 169.1 del Real Decreto Legislativo 2/2004, de 5 de marzo, que exige que antes de la aprobación definitiva del presupuesto, debe exponerse al público por 15 días para que los interesados puedan examinarlo y presentar reclamaciones, por lo que resultaba obligatorio publicar el documento en cuestión para que los interesados pudieran realizar alegaciones y que si no estuvieran identificados no las podrían interponer.
A este respecto, procede aclarar y distinguir, por un lado, lo que debe publicarse por exigencias de la normativa aplicable en relación con la elaboración de los presupuestos de una Administración Pública, en este caso, una Entidad Local, así como las exigencias de publicidad de las plantillas, RPT y demás instrumentos afines y, por otro lado, la forma y las circunstancias en la que procede notificar, mediante publicación, actos administrativos.
De lo expuesto se deduce que, a efectos de la elaboración del presupuesto de la entidad local, lo que se está regulando en estos preceptos es el trámite de información pública a que se tiene que someter dicho presupuesto antes de su aprobación definitiva, lo cual no obliga ni justifica en modo alguno la publicación del documento en cuestión con la información que contenía y con identificación del nombre y apellidos de los trabajadores de la entidad, tal y como se pretende.
En cuanto al contenido de las RPT, el Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público, indica, en su artículo 74 Ordenación de los puestos de trabajo, lo siguiente:
“Las Administraciones Públicas estructurarán su organización a través de relaciones de puestos de trabajo u otros instrumentos organizativos similares que comprenderán, al menos, la denominación de los puestos, los grupos de clasificación profesional, los cuerpos o escalas, en su caso, a que estén adscritos, los sistemas de provisión y las retribuciones complementarias. Dichos instrumentos serán públicos.
De la lectura de dicho precepto se refleja que las plantillas de personal y/o las RPT deben ser públicas. En cuanto a su contenido, se refiere a la denominación de los puestos, los grupos de clasificación profesional, los cuerpos o escala, los sistemas de provisión y las retribuciones complementarias (nivel de complemento de destino y, en su caso, el complemento específico que corresponda a los mismos, cuando hayan de ser desempeñados por personal funcionario), categoría profesional cuando sean desempeñados por personal laboral, etc. Es decir, a una descripción de los puestos de trabajo.
Sin embargo, en ninguno de ellos ni se indica ni se exige la publicación de toda la información contenida en el documento publicado por el Ayuntamiento y mucho menos con indicación del nombre y apellidos de las personas titulares de los puestos (los trabajadores). Además, parte de esa información se refiere a circunstancias laborales personales de los trabajadores (por ej, los trienios concretos que tiene reconocidos cada empleado y los grupos de pertenencia en los que los cumplieron, lo que refleja y permite conocer la carrera administrativa y antigüedad de cada empleado en concreto) y que son datos personales de los mismos y que ninguna Ley ni obliga ni permite su difusión mediante su publicación en internet. Todo ello pone de manifiesto una publicación de datos personales excesiva no amparada en la ley y que ha permitido el acceso por cualquier persona a los mismos.
Por otro lado, en cuanto al argumento esgrimido por el Ayuntamiento relativo a que el “documento plantilla”, se publicó para que los empleados pudieran alegar la existencia de algún error o discrepancia y que ello se realizó conforme al artículo 45.1 a) LPACAP, ya que va dirigido a una pluralidad de interesados (los trabajadores) y que era necesario publicarlo con su nombre y apellidos porque si no están identificados no podrían reclamar. La LPCAP distingue notificación, de publicación, en sus artículos 44 y 45. El primero trata de: “Cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar de la notificación o bien, intentada ésta, no se hubiese podido practicar la notificación se hará por medio de un anuncio publicado en el «Boletín Oficial del Estado”, mientras que el artículo 45 se refiere a que “Los actos administrativos serán objeto de publicación cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente”, y establece que en todo caso se realizaran, con efectos de notificación, en los casos que se señala:
a) Cuando el acto tenga por destinatario a una pluralidad indeterminada de personas o cuando la Administración estime que la notificación efectuada a un solo interesado es insuficiente para garantizar la notificación a todos, siendo, en este último caso, adicional a la individualmente realizada.
b) […]
Por tanto, para aplicar el supuesto que aduce el Ayuntamiento, no sólo es necesario que sea una pluralidad de destinatarios, sino que debe ser, además, indeterminada, lo cual no procede en el presente caso, pues los trabajadores y empleados del Ayuntamiento están plenamente determinados e identificados.
Por tanto, no procede justificarse, como pretende el Ayuntamiento, en que la notificación mediante publicación se realizó conforme a lo dispuesto en la Disposición Adicional Séptima de la LOPDGDD, pues lo exigido en ella parte de la premisa de cuando sea necesaria la publicación de un acto administrativo. Sin embargo, en el presente caso, no procedía tal publicación sino, en su caso, la notificación individualizada del acto a cada uno de los trabajadores y exclusivamente respecto de sus propias retribuciones y no de las del resto de trabajadores.
A mayor abundamiento, cualquiera que sea la forma de notificación del acto administrativo a los interesados, lo cierto es que el artículo 40.5 de la LPACAP establece una prevención aplicable a todos los tipos de notificaciones de las resoluciones y actos administrativos que han de realizarse en el seno del procedimiento administrativo, y ello ya se trate de notificaciones electrónicas, en papel, o mediante publicación en tablón de anuncios (electrónico, en este caso, la página web del Ministerio). Este apartado dice así:
5. Las Administraciones Públicas podrán adoptar las medidas que consideren necesarias para la protección de los datos personales que consten en las resoluciones y actos administrativos, cuando éstos tengan por destinatarios a más de un interesado.
Por tanto, si se entendiera que procedía publicar directamente como si hubiera procedido notificar por medio de anuncio, en ambos casos, si con ello se aprecia que puede lesionar derechos o intereses legítimos, debería haberse publicado únicamente una somera indicación del contenido (y cumpliendo lo indicado en la DA7º LOPDGDD) con indicación del lugar donde la interesada podría comparecer en el plazo que se estableciera para conocimiento del contenido íntegro del acto y constancia de tal conocimiento
RESPONSABILIDAD DEL DELEGADO DE PROTECCION DE DATOS
El Ayuntamiento intentó excusar su actuación alegando que la falta de asesoramiento adecuado por parte de su Delegado de Protección de Datos contribuyó al error. Sin embargo, esta justificación no exime a la entidad de su responsabilidad como responsable del tratamiento, tal como exige el artículo 24 del RGPD. No consta acreditado que se haya solicitado previamente la opinión del Delegado antes de la publicación, lo que refleja una gestión deficiente en el cumplimiento de la normativa de protección de datos por parte del Ayuntamiento.
CONCLUSIÓN
Por todo lo expuesto y de conformidad con las evidencias de las que se dispone, se considera que los hechos conocidos son constitutivos de una infracción, imputable al Ayuntamiento, por vulneración del artículo 5.1.f) del RGPD y 32 RGPD, al haberse producido un acceso no autorizado o ilícito por terceros a datos personales de los trabajadores, a raíz de la publicación indebida realizada por el propio Ayuntamiento en la web sin establecer ningún control de accesos y desoyendo las recomendaciones de su propio Delegado de protección de datos. Ello supone una vulneración de la obligación de garantizar la confidencialidad de los datos, poniendo de manifiesto un incumplimiento de la obligación de tratarlos de tal manera que se garantice, a través de medidas técnicas u organizativas apropiadas, una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito, lo que resulta evidente que no se ha hecho.
La única medida aplicada por el Ayuntamiento para garantizar la confidencialidad de los datos consistió en no publicar los números de los DNIs de sus titulares, medida que resulta a todas luces insuficiente e ineficaz para preservar la confidencialidad de todos los datos personales.
Este tipo de situaciones pone de manifestó una vez más, la importancia de un adecuado asesoramiento por parte de los Delegados de Protección de Datos (DPD) y la necesidad de que las instituciones públicas adopten prácticas responsables para equilibrar de forma correcta el derecho de protección de datos con el derecho de acceso a la información pública.
Puedes visualizar otras entradas de nuestro blog referentes a sanciones a ayuntamientos aquí y aquí.
