 |
| Fuente de la imagen: Especiales dudas de Derecho (M. Velasco, 2018) |
Resumen: Este artículo analiza el contenido de la Resolución de Procedimiento Sancionador, instruido por la Agencia Española de Protección de Datos (AEPD) contra un Ayuntamiento, centrado en una infracción del Reglamento General de Protección de Datos (RGPD). La controversia surge a raíz de dos notificaciones administrativas enviadas por correo postal certificado en cuyos sobres figuraba visiblemente impreso, en el anverso, leyendas que revelaban la naturaleza de la comunicación: "DILIGENCIA DE EMBARGO" y "NOTIFICACIÓN PROVIDENCIA DE APREMIO". El reclamante argumentó que esta exposición violaba su intimidad y la normativa de protección de datos, especialmente porque las comunicaciones previas se habían realizado por vía telemática. La AEPD concluyó que la inclusión de dicha información en el sobre supuso una pérdida de confidencialidad de datos personales, al facilitar el acceso ilícito a terceros (como el personal del servicio de correos) a información relativa a la existencia de una deuda, el inicio de un procedimiento de apremio y el embargo de bienes. Por tanto, la resolución DECLARA la infracción del artículo 5.1.f) del RGPD (Principio de Integridad y Confidencialidad), tipificada en el artículo 83.5 del RGPD. No obstante, y dado que el Ayuntamiento acreditó haber adoptado medidas correctoras a posteriori—sustituyendo la información sensible por la expresión genérica "Notificación Administrativa"— no se consideró necesaria la imposición de medidas correctivas adicionales.
Palabras Clave: RGPD, Confidencialidad, Notificación Administrativa, Diligencia de Embargo, Recaudación Ejecutiva, Responsabilidad Proactiva, AEPD.
Abstract: This article analyzes the content of the Sanctioning Procedure Resolution issued by the Spanish Data Protection Agency (AEPD) against a City Council, focusing on an infringement of the General Data Protection Regulation (GDPR). The controversy arose from two administrative notifications sent by certified mail. The envelopes bore clearly printed on the front the words "SEIZURE PROCEEDINGS" and "NOTIFICATION OF ENFORCEMENT ORDER." The complainant argued that this exposure violated their privacy and data protection regulations, especially since previous communications had been carried out electronically. The Spanish Data Protection Agency (AEPD) concluded that including this information on the envelope resulted in a breach of personal data confidentiality, as it facilitated unauthorized access by third parties (such as postal service personnel) to information regarding the existence of a debt, the initiation of enforcement proceedings, and the seizure of assets. Therefore, the resolution DECLARES a violation of Article 5.1.f) of the GDPR (Principle of Integrity and Confidentiality), as defined in Article 83.5 of the GDPR. However, given that the City Council demonstrated having subsequently adopted corrective measures—replacing the sensitive information with the generic expression "Administrative Notification"—the imposition of additional corrective measures was not deemed necessary.
Keywords: GDPR, Confidentiality, Administrative Notification, Seizure Order, Enforcement Proceedings, Proactive Responsibility, AEPD.
1. Introducción
El presente estudio se centra en el régimen sancionador de la Agencia Española de Protección de Datos (AEPD) en el contexto de la gestión recaudatoria de las Administraciones Públicas, específicamente en lo relativo al principio de integridad y confidencialidad. Las autoridades de control, como la AEPD, poseen poderes correctivos y sancionadores en virtud del artículo 58.2 del RGPD y de la normativa nacional (Artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD).
El caso en cuestión se originó por una reclamación interpuesta contra un Ayuntamiento. La controversia residía en el tratamiento de datos personales realizado por la administración local al incluir información sensible en el anverso de sobres de correo certificado.
2. Metodología y Hechos Probados
El procedimiento se instruyó conforme a lo dispuesto en la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 39/2015 (LPACAP). La reclamación se admitió a trámite el 10/04/2023.
2.1. Descripción de los Hechos
La Unidad de Recaudación Ejecutiva del Ayuntamiento remitió dos notificaciones postales al domicilio del reclamante. En el anverso de estos sobres, junto a los datos de identidad y domicilio del destinatario, se encontraban impresas leyendas claramente visibles. Las leyendas específicas eran: “DILIGENCIA DE EMBARGO” y “NOTIFICACIÓN PROVIDENCIA DE APREMIO”, seguidas de sus respectivos números de expediente o referencia.
El reclamante manifestó que, dado que todas las comunicaciones previas se habían realizado por vía telemática (Certificado Electrónico FNMT, y otros), el cambio de sistema y la visibilidad de la información sensible constituían una violación de su Ley Orgánica de Protección de Datos.
2.2. Posición del Ayuntamiento y Medidas Correctoras
El Ayuntamiento (como responsable del tratamiento, Art. 4.7 RGPD) afirmó que las notificaciones administrativas se practicaron conforme a la normativa vigente (Artículos 40 a 43 LPACAP y RGR), garantizando la entrega al destinatario mediante correo certificado. El DPD del Ayuntamiento indicó que, tras la reclamación, se inició una revisión interna para asegurar el cumplimiento del principio de minimización de datos (Art. 5.1.c RGPD) en los sobres de notificación.
Posteriormente, tras el inicio del procedimiento sancionador (diciembre de 2024), el Ayuntamiento reconoció los hechos e informó de las medidas adoptadas para evitar futuras infracciones. Estas medidas consistieron en eliminar cualquier referencia al contenido específico de la notificación ("Diligencia de Embargo" o "Providencia de Apremio") y sustituirla por la expresión genérica “Notificación Administrativa”. Esta modificación fue acreditada mediante imágenes de notificaciones posteriores.
3. Fundamentos Legales y Análisis de la Infracción
El tratamiento de datos personales en este caso, llevado a cabo por el Ayuntamiento para el cumplimiento de sus funciones de gestión recaudatoria (base de licitud Art. 6.1.c RGPD), debe regirse por los principios del RGPD.
3.1. Vulneración del Principio de Confidencialidad
La AEPD determinó la infracción del Artículo 5.1.f) del RGPD. Este artículo obliga al responsable a garantizar una seguridad adecuada de los datos personales, incluyendo la protección contra el tratamiento no autorizado o ilícito (Principio de Integridad y Confidencialidad).
El tratamiento objeto de la reclamación consistió en incorporar información sensible sobre el contenido de la notificación (diligencia de embargo y providencia de apremio) en el sobre, junto a la identidad y domicilio del reclamante. Estas leyendas visibles informaban a terceros que tuvieran acceso al sobre (como el personal del servicio de correos) de que el destinatario tenía una deuda pendiente en vía ejecutiva y que se había ordenado la ejecución contra su patrimonio.
La información sobre la existencia de una deuda, el inicio de un procedimiento de apremio y el embargo de bienes, que concierne a la identidad económica y capacidad de pago del individuo, se considera "datos personales" en un sentido amplio, incluyendo "toda la información resultante de un tratamiento de datos personales que se refiera a una persona identificada o identificable". La exposición de estos datos a terceros generó una pérdida de confidencialidad.
3.2. Responsabilidad Proactiva
El Ayuntamiento, como responsable del tratamiento, tiene la obligación de garantizar la confidencialidad de los datos mediante medidas técnicas u organizativas apropiadas. El principio de responsabilidad proactiva (Art. 5.2 y Art. 24 RGPD) exige al responsable aplicar medidas adecuadas para garantizar la conformidad del tratamiento y ser capaz de demostrarlo.
La AEPD concluyó que, en el momento de los hechos, el Ayuntamiento no había adoptado medidas técnicas u organizativas dirigidas a no incluir en el sobre información innecesaria para la finalidad perseguida (que son únicamente los datos de identidad y domicilio), lo cual generó la pérdida de confidencialidad.
4. Resolución
Se concluyó que el Ayuntamiento incurrió en una infracción del artículo 5.1.f) del RGPD. Esta vulneración de los principios básicos para el tratamiento está tipificada como infracción administrativa en el Artículo 83.5.a) del RGPD y se considera muy grave a efectos de prescripción según el artículo 72.1.a de la LOPDGDD.
Dado que el Ayuntamiento es una entidad que integra la Administración Local (Art. 77.1.c LOPDGDD), le es aplicable un régimen especial de infracciones.
La Presidencia de la AEPD RESUELVE:
1. DECLARAR que el Ayuntamiento ha infringido lo dispuesto en el artículo 5.1.f) del RGPD.
2. NO IMPONER MEDIDAS CORRECTIVAS adicionales, ya que el Ayuntamiento acreditó haber adoptado medidas para corregir la conducta infractora antes de la resolución final (sustitución de la información sensible por la leyenda genérica "Notificación Administrativa").
3. COMUNICAR la resolución al Defensor del Pueblo, de conformidad con el artículo 77.5 de la LOPDGDD.
5. Comentarios a la resolución
La Resolución de Procedimiento Sancionador, emitida por la Agencia Española de Protección de Datos (AEPD) contra el Ayuntamiento por la exposición de datos sensibles en sobres de notificaciones postales, constituye un documento que subraya la aplicación estricta del Principio de Integridad y Confidencialidad (Artículo 5.1.f) del Reglamento General de Protección de Datos, RGPD) en el ámbito de la Administración Pública.
5.1. Aciertos en la Fundamentación Jurídica y la Interpretación del RGPD
La resolución es encomiable por la claridad y solidez con la que establece la violación de la normativa de protección de datos, superando la defensa inicial de la Administración.
5.1.1. Refuerzo del Principio de Confidencialidad
El principal acierto de la AEPD radica en identificar y declarar la infracción del artículo 5.1.f) del RGPD. Este principio exige que los datos sean tratados de manera que se garantice la seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito.
La AEPD concluye correctamente que la inclusión visible en el anverso de los sobres de leyendas como “DILIGENCIA DE EMBARGO” y “NOTIFICACIÓN PROVIDENCIA DE APREMIO”, junto con los datos de identidad y domicilio del reclamante, expuso información sensible. Esta información fue accesible, al menos, al personal del servicio de correos, revelando que el destinatario estaba sujeto a una deuda pendiente en vía ejecutiva y que se había ordenado la ejecución contra su patrimonio.
5.1.2. Interpretación Amplia de "Dato Personal"
La resolución utiliza una interpretación amplia del concepto de "datos personales", citando jurisprudencia relevante (STJUE C-487/21). Se precisa que un dato personal abarca "toda la información resultante de un tratamiento de datos personales que se refiera a una persona identificada o identificable". En este caso, la información sobre la existencia de una deuda, el inicio de un procedimiento de apremio y el embargo de bienes, que atañen a la identidad económica o capacidad de pago del individuo, encaja perfectamente en esta definición. La exposición de estas leyendas supuso, por lo tanto, una pérdida de confidencialidad de datos personales.
5.1.3. La Primacía de la Responsabilidad Proactiva
La AEPD enfatiza la vulneración del principio de Responsabilidad Proactiva (Art. 5.2 y 24 RGPD). Se critica que el Ayuntamiento, como responsable del tratamiento, no había adoptado, en el momento de los hechos, ninguna medida técnica u organizativa dirigida a no incluir en el sobre información innecesaria para la finalidad perseguida (que son únicamente los datos de identidad y domicilio). El mero cumplimiento de la normativa de notificaciones administrativas (LPACAP o RGR) no exime a la administración de su deber de garantizar la seguridad y confidencialidad exigidas por el RGPD. La resolución acierta al separar la obligación administrativa de notificar de la obligación de proteger los datos durante el proceso de notificación.
5.2. Puntos Críticos y de Debate
Aunque la declaración de infracción es justa y necesaria, el punto más debatible de la resolución es la mitigación de las consecuencias sancionadoras.
5.2.1. Ausencia de Medidas Correctivas o Sancionadoras
La AEPD DECLARA la infracción del artículo 5.1.f) del RGPD, catalogada como muy grave a efectos de prescripción (Art. 72.1.a LOPDGDD). Sin embargo, no impone medidas correctivas adicionales.
El motivo de esta exención es que el Ayuntamiento acreditó haber adoptado medidas a posteriori, eliminando la referencia explícita al contenido sensible del sobre y sustituyéndola por la expresión genérica “Notificación Administrativa”. Estas medidas fueron tomadas después de la reclamación (10/01/2023) y se acreditaron mediante imágenes de notificaciones de septiembre, octubre y noviembre de 2023.
Crítica: Si bien el régimen aplicable a las entidades locales (Art. 77 LOPDGDD) limita los poderes sancionadores de la AEPD, obligándola a dictar resolución declarando la infracción y estableciendo medidas, con exclusión de las multas del Art. 58.2.i) RGPD, la ausencia total de un reproche o de la imposición formal de las medidas ya adoptadas puede percibirse como una falta de efecto disuasorio inmediato. La infracción ya se había cometido, causando una pérdida de confidencialidad, y la corrección fue reactiva, impulsada por la reclamación, no por la proactividad del responsable. La eficacia de la resolución se limita a la mera declaración, aunque se comunica al Defensor del Pueblo.
5.2.2. Riesgo de Normalización del Incumplimiento Reactivo
La decisión de no imponer medidas adicionales porque la corrección ya se había realizado podría, en casos futuros, incentivar a las administraciones a esperar la presentación de una reclamación para corregir prácticas inadecuadas, en lugar de realizar una evaluación de riesgos y medidas técnicas u organizativas ex ante. La resolución reconoce que el Ayuntamiento "no había adoptado, en el momento en el que se produjeron los hechos... ninguna medida técnica o/y organizativa". Este fallo en la implementación inicial de medidas de seguridad, que permitió el acceso no autorizado de terceros a información económica del ciudadano, es el núcleo de la infracción y merecería una firmeza más allá del mero reconocimiento de la conducta.
6. Conclusión
La Resolución establece un precedente legal firme: la Administración, al utilizar medios postales para comunicaciones coercitivas (como embargos), debe garantizar que los datos sensibles, relacionados con la situación económica del ciudadano, permanezcan confidenciales. El uso de leyendas explícitas como "Diligencia de Embargo" en el exterior del sobre constituye un tratamiento ilícito y una pérdida de confidencialidad, ya que permite que terceros (el personal de correos) accedan a información protegida.
No obstante, aunque la resolución cumple con el marco legal especial de la LOPDGDD para las Administraciones Públicas, la decisión de no imponer medidas correctoras adicionales, debido a la rectificación posterior, ilustra la limitación del poder sancionador de la AEPD en este ámbito. El mensaje, sin embargo, es claro: la responsabilidad proactiva exige que la confidencialidad sea protegida desde el diseño del proceso administrativo, y no solamente tras recibir una queja.
Metafóricamente, este caso es como una casa con un cartel gigante en la puerta anunciando a todos los vecinos que el dueño tiene una hipoteca impagada. Aunque la Administración corrigió el cartel a "Aviso Legal" una vez que el vecino se quejó, el daño a la confidencialidad ya estaba hecho, y la resolución actúa principalmente como un requisito de que, en adelante, todos los "carteles" deben ser genéricos para proteger la intimidad económica.
7. Recursos Generativos utilizados en la redacción de este artículo
Teniendo en cuenta que se ha seguido la estructura de un artículo científico, formato conocido por la IAG, para la elaboración de este contenido se ha utilizado IAG en la fase de búsqueda de información, así como en la mejora de la redacción y adaptación de ésta a un lenguaje coloquial. Asimismo, antes de editarlo se ha pasado el filtro de plagio (12% de coincidencias) y de lenguaje IAG (8% de coincidencias), considerando ambos ratios razonables y asumibles.
8. Referencias
Expediente de la AEPD, Resolución de Procedimiento Sancionador. RGPD. LOPDGDD. LPACAP. STJUE C-487/21.
