El Defensor

El Defensor del Pueblo Andaluz es una Institución creada para la protección de los derechos y las libertades de los andaluces.

Su intervención es gratuita, sencilla y reservada. Actúa de manera independiente, con transparencia y objetividad.

Contáctanos

Ayuda

Aconsejamos al Ayuntamiento de Ronda que evite cesiones indebidas de datos personales

Inicio » Qué hacemos » Resoluciones » Aconsejamos al Ayuntamiento de Ronda que evite cesiones indebidas de datos personales

Resolución del Defensor del Pueblo Andaluz formulada en la queja 15/1447 dirigida a Ayuntamiento de Ronda (Málaga)

El Defensor del Pueblo Andaluz formula Resolución al Ayuntamiento de Ronda, por la que recomienda que se adopten las medidas necesarias para evitar en lo sucesivo cesiones indebidas de datos de carácter personal y se proceda a rectificar la información facilitada a las empresas respecto del origen y razones de la actuación de inspección realizada.

ANTECEDENTES

I. En su escrito de queja la parte interesada señalaba que había dirigido al Ayuntamiento de Ronda diversas solicitudes requiriendo certificación acerca del cumplimiento por parte de determinados clubs de padel de la localidad de los requisitos legales para su correcto funcionamiento.

Según manifestaba, había contactado con ella el propietario de una de las instalaciones afectadas por el requerimiento comunicándole haber recibido del Ayuntamiento una comunicación informándole de una próxima visita de inspección, señalando expresamente la comunicación que tal actuación traía causa en una “denuncia y requerimiento” realizado por la promotora de la queja, a la que se identificaba con su nombre y apellidos.

La interesada manifestaba su protesta por el hecho de que se hubiera calificado como denuncia una solicitud de información y especialmente por haber facilitado sus datos personales a las empresas presuntamente denunciadas, considerando que con ellos se había producido un incumplimiento de lo dispuesto en la legislación española de protección de datos personales.

II.- Tras admitir la queja a tramite, se solicitó informe al Ayuntamiento de Ronda que nos contestaba finalmente lo que en extracto sigue:

[...] El certificado solicitado por la interesada se emitió con fecha 17/12/2014, no obstante con el objeto de recabar la información necesaria para los envíos de tal certificado, se realizaron una serie de actuaciones previas por parte de la inspección municipal de obras, en virtud de las previsiones del art. 69.2 de la ley 30/1992, de 26 de noviembre de Régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, entre los que se encuentra el controvertido oficio que es un acto de mero trámite.

Tales actuaciones Previas se documentaron en el Informe AC/37/2014, de 10 de octubre en cuyo encabezamiento se hace constar literalmente: “a consecuencia de la solicitud de certificación realizada por Dª (...).

Si se produjo una cesión de datos de carácter personal definida en el articulo 3.1, de la Ley Orgánica 15/1999, que establece: “3.- A los efectos de la presente Ley Orgánica se entenderá por: i.- Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado”, se debió a un error en la calificación de la pretensión de la Sra. (...) por parte de la Inspección municipal, que ésta misma corrigió de oficio en su mencionado informe AC/37/2014 de octubre.”

Respecto a los hechos que se exponen deseamos efectuar las siguientes

CONSIDERACIONES

Primera.- Sobre la naturaleza de la petición cursada y la necesidad de revelación de la identidad de la persona solicitante.

Debemos dejar sentado en primer lugar que el escrito dirigido por la persona promotora de la queja al Ayuntamiento de Ronda en ningún caso puede ser calificado de denuncia, al tratarse de un mero requerimiento de información a la administración municipal.

Pero aun en el caso de que se hubiera tratado de una denuncia no existen razones que justifiquen que se de traslado de la identidad de la persona denunciante a las personas que pudieran resultar afectadas por tal denuncia.

En este sentido, conforme establece la todavía vigente ley de procedimiento administrativo (Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común), los procedimientos podrán iniciarse de oficio o a solicitud de persona interesada.

La misma ley rituaria contempla la denuncia como una medida instrumental para la iniciación de las actuaciones procedimentales de oficio. Así, el artículo 69 de la citada Ley 30/1992, establece:

«1. Los procedimientos se iniciarán de oficio por acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de orden superior, a petición razonada de otros órganos o por denuncia.

2. Con anterioridad al acuerdo de iniciación, podrá el órgano competente abrir un período de información previa con el fin de conocer las circunstancias del caso concreto y la conveniencia o no de iniciar el procedimiento.»

Efectivamente, y sobre los procedimientos sancionadores, hemos de tener en cuenta que el artículo 11.1 del RD 1398/1993, prevé que en las solicitudes de iniciación de procedimiento o en la formulación de denuncias debe acreditarse la identidad del solicitante.

«1. Los procedimientos sancionadores se iniciarán siempre de oficio, por acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de orden superior, petición razonada de otros órganos o denuncia.»

Aclarando el apartado “d” de dicho artículo el concepto formal de denuncia, de la siguiente manera:

«d) Denuncia: El acto por el que cualquier persona, en cumplimiento o no de una obligación legal, pone en conocimiento de un órgano administrativo la existencia de un determinado hecho que pudiera constituir infracción administrativa. Las denuncias deberán expresar la identidad de la persona o personas que las presentan, el relato de los hechos que pudieran constituir infracción y la fecha de su comisión y, cuando sea posible, la identificación de los presuntos responsables.»

Puesto que no es admisible el anonimato cuando se pone en conocimiento de la administración la comisión de hechos supuestamente ilícitos, que el denunciante no puede calificar jurídicamente, el interesado en denunciarlos está obligado a identificarse ante la administración.

Siendo así que los procedimientos sancionadores son iniciados siempre de oficio por la Administración, previa investigación de la veracidad de los hechos denunciados, la revelación de los datos identificativos de la persona denunciante a los presuntos infractores sólo tendría sentido en aquellos supuestos en que el conocimiento de tal dato fuese relevante para el buen fin de la investigación emprendida o para el adecuado ejercicio del derecho de defensa por parte de los presuntos infractores.

En el presente caso, parece obvio que la comprobación por los servicios municipales de la adecuación a la legalidad de las actividades desarrolladas por las empresas en cuestión en ningún caso precisaba de la revelación de la identidad de la persona a cuya instancia se realizaba tal comprobación. Como resulta igualmente evidente que tal revelación en nada mejoraba el derecho de defensa de las empresas afectadas.

Por tanto, ni resulta acertada la actuación del Ayuntamiento de Ronda al calificar la petición recibida como denuncia, ni entendemos justificada la revelación de la identidad de la supuesta denunciante a terceros.

Segunda.- Sobre la cesión de datos de carácter personal.

De conformidad con lo establecido en el artículo 6.2 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, no es preciso el consentimiento del afectado cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en ejercicio de sus competencias.

Por su parte el art.11 de la citada Ley señala lo siguiente:

«Artículo 11 Comunicación de datos

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.»

En el presente caso, y a los efectos de determinar si se produjo vulneración de las normas sobre cesión de datos personales establecidas en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, procede traer a colación el contenido del informe jurídico 0342/2012 de la Agencia Española de Protección de Datos respecto del traslado de los datos del denunciante a los denunciados en un procedimiento sancionador:

(...) comenzaremos destacando que dicha comunicación de datos constituye una cesión de datos de carácter personal definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “Toda revelación de datos efectuada a persona distinta del interesado”.

Tal y como determina el artículo 11.1 de la Ley Orgánica 15/1999, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta regla de consentimiento sólo se verá exceptuada en los supuestos contemplados en el artículo 11.2, entre los que cabe destacar aquellos casos en que una norma con rango de Ley dé cobertura a la cesión.

En el supuesto planteado, debe indicarse que la comunicación de los datos de los denunciantes que se incorporen al procedimiento como consecuencia de su incorporación a la denuncia, y el acceso a la misma, no se corresponderá con el ejercicio por el imputado de un derecho de acceso, en el sentido previsto en el artículo 15 de la Ley Orgánica 15/1999, dado que el citado derecho queda limitado a los propios datos de carácter personal objeto de tratamiento. No puede considerarse que la información que contenga datos de terceras personas, como sucedería en este caso con los datos de los denunciantes, quede incluida en el mencionado derecho, toda vez que la transmisión al denunciado de dichos datos implicaría la revelación de los mismos a una persona distinta del afectado y, en consecuencia, una cesión o comunicación de los datos, que no encontraría amparo en los supuestos regulados por el ya citado artículo 11 de la Ley Orgánica 15/1999.

(…) si la denuncia contiene datos personales de los denunciantes –incluyendo nombre y apellidos, desde luego- debe tomarse en consideración que el número primero del artículo 4 de la misma Ley Orgánica 15/1999 recoge, dentro de los principios de protección de datos, el relativo a la proporcionalidad disponiendo que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” De manera que solamente procederá la cesión de aquellos datos de terceros cuyo conocimiento sea relevante para el ejercicio de los derechos del interesado, como es el de defensa en el presente caso.

Así, considerando el principio de proporcionalidad, y que el fin perseguido por la norma considerada (art. 35.a) de la Ley 30/1992) es garantizar el derecho de defensa, al interesado-denunciado del procedimiento sólo se comunicarán aquellos datos de la denuncia que sean relevantes para el ejercicio de sus derechos -el de derecho de defensa en el presente caso–, habrá de plantearse si al dar traslado de la denuncia se incorporarán o se eliminarán aquellos datos personales de terceros (denunciantes) que no resulten adecuados ni pertinentes en relación con dicha finalidad de defensa.

Se trataría, en definitiva, de una ponderación entre dos derechos fundamentales, el de defensa del art. 24 CE y el de protección de datos de carácter personal del art. 18.4 CE en relación con la STC 292/2000. De esta manera, como afirmamos en informe de esta Agencia de 5 de julio de 2010, si resultara evidente la necesidad de que el imputado conociera la identidad de los denunciantes para el ejercicio del derecho de defensa, habrían de incluirse tales datos identificativos.”

Trasladando este informe al caso que nos ocupa debemos concluir que el Ayuntamiento de Ronda habría incurrido en una cesión indebida de datos personales, sin que tal actuación irregular quede justificada por el error cometido en la calificación de la pretensión de la interesada por parte del servicio municipal ya que, aunque se hubiese tratado de una denuncia, no procedía el traslado por parte del Ayuntamiento a los denunciados de los datos identificativos de la persona denunciante.

Las responsabilidades que pudieran derivarse de tal cesión indebida procederá determinarlas a la Agencia Española de Protección de Datos, cuya intervención la promotora de la queja manifiesta haber instado.

Por todo cuanto antecede y, en ejercicio de las facultades y atribuciones que me confiere el artículo 29.1 de la Ley 9/1983, de 1 de diciembre, del Defensor del Pueblo Andaluz, se formula a esa Alcaldía Presidencia la siguiente

RESOLUCIÓN

RECORDATORIO de deberes legales de los preceptos legales y reglamentarios señalados anteriormente.

RECOMENDACIÓN: Que se adopten las medidas necesarias para evitar en lo sucesivo cesiones indebidas de datos de carácter personal y se proceda a rectificar la información facilitada a las empresas respecto del origen y razones de la actuación de inspección realizada.

Jesús Maeztu Gregorio de Tejada Defensor del Pueblo Andaluz

Si quiere presentar una queja o una consulta pinche en el siguiente enlace

Presenta tu queja o consulta

Escribir un comentario

Más información sobre los formatos de texto

Texto plano

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.

Sus datos personales están protegidos.

0 Comentarios

  • Defensoría de la Infancia y Adolescencia de Andalucía
  • Otras defensorías e Instituciones
  • Sede electrónica
  • Nuestro compromiso
  • Parlamento de Andalucía