//
you're reading...
Sanciones

Procedimiento por infracción del art. 12.2 contra el Ayuntamiento de Telde por cesión de datos a VALORA GESTIÓN TRIBUTARIA


Un ciudadano de la ciudad de Telde presentó en agosto y octubre de 2014 denuncia ante la AEPD contra el Ayuntamiento de Telde por haber cedido sus datos personales sin su consentimiento al organismo VALORA GESTIÓN TRIBUTARIA para la gestión de cobro de la tasa de basura.

El Ayuntamiento de Telde presentó como alegación que con fecha 26/11/2013 y posteriormente con fecha 3/06/2013 se acordó en el pleno municipal delegar la gestión de recaudación en Valora.

Dicha delegación de los servicios de recaudación no nació de un contrato o cualquier otra negocio jurídico sino en virtud de una delegación de funciones.

El Ayuntamiento facilitó los datos a Valora (facilitó las cuentas bancarias) el resto de los datos ya los tenía Valora al gestionar los datos del IBI y afirmó haber notificado a los contribuyentes sobre este cambio en la gestión recaudatoria.

El artículo 12 de la LOPD estipula lo siguiente: “Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

De la lectura del citado artículo 12 se deduce que, para que concurra la figura del “acceso a los datos por cuenta de tercero”, la relación deberá estar regulada en un contrato que deberá constar por escrito o en alguna forma que permita acreditar su celebración y contenido. El citado contrato permite que el responsable del fichero habilite el acceso material a datos de carácter personal por parte de la entidad que va a prestarle un servicio –encargado del tratamiento- sin que, por mandato expreso de la ley, pueda considerarse dicho acceso como una cesión de datos. Sin embargo, ese acceso o tratamiento por parte del que presta el servicio aparece rodeado de un abanico de garantías para los afectados que el propio artículo 12 impone. La primera de ellas estriba en que haya una constancia expresa de que el responsable del fichero ha encargado el tratamiento de los datos, para lo cual se exige que conste en un contrato. A este respecto, el artículo 12 impone un requisito formal por cuanto el contrato debe constar escrito o, en todo caso, debe acreditarse formalmente su celebración. Es decir, la norma impone que siempre exista una relación jurídica de naturaleza contractual entre el responsable y el tercero al que encarga el tratamiento y, además, exige una constancia formal de dicha relación, que conste por escrito o en cualquier otra forma que permita acreditar su celebración y contenido, que deberá especificar las circunstancias previstas por los apartados 2 y 3 del citado precepto.

En este caso, la delegación de facultades de gestión y recaudación tributaria por parte de la entidad Ayuntamiento de Telde al Cabildo de Gran Canaria, que las ejerce a través del organismo autónomo Valora Gestión Tributaria, se encuadra en la situación prevista en el referido artículo 12 de la LOPD y, por tanto, esta actuación encaja en la figura del encargado del tratamiento. Conforme a la citada normativa, el organismo Valora Gestión Tributaria interviene en los hechos en su condición de encargado de tratamiento, por virtud de la citada delegación del Ayuntamiento de Telde, siendo ésta última entidad la responsable del fichero o tratamientos, por cuanto tiene el poder de decisión sobre la finalidad, contenido y uso del tratamiento.

Conforme a lo dispuesto en el artículo 12 de la LOPD y en el artículo 20 del Reglamento de desarrollo de dicha Ley Orgánica, el acceso a los datos por parte de un encargado del tratamiento que resulte necesario para el desarrollo de las tareas encomendadas por el responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la citadas normas salvo que el acceso “tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.

En este caso, la entidad Valora Gestión Tributaria se encarga de la gestión y recaudación de la Tasa de Recogida de Residuos Sólidos Urbanos establecida por el Ayuntamiento de Telde y lo hace en representación de esta entidad, sin que de ello resulte una relación que vincule a Valora Gestión Tributaria con los contribuyentes. El citado Ayuntamiento es quien ostenta la condición de responsable del fichero, no pudiendo ser la entidad colaboradora Valora Gestión Tributaria más que una encargada del tratamiento que accede a los datos de las personas obligadas al pago de la tasa con la única finalidad de ejercer la potestad que le ha sido delegada por el Ayuntamiento, que no puede utilizarlos para ninguna otra actividad y debe tratarlos conforme a las instrucciones del responsable del tratamiento. Asimismo, deberá devolver los datos a los que accede una vez concluida la prestación del servicio.

eEn consecuencia, la relación jurídica que vincula al Ayuntamiento de Telde y al organismo Valora Gestión Tributaria para la gestión de aquella tasa deberá constar por escrito y cumplir las exigencias formales previstas en el artículo 12 de la LOPD antes reseñadas, aunque en este caso no se trate de un contrato en el sentido de acuerdo de voluntades. El contenido de ese encargo del tratamiento regulado en el apartado 2 del citado artículo puede incorporarse en los actos de la delegación de facultades o constar por separado en un documento elaborado con esta concreta finalidad.

En el presente caso, existe constancia formal sobre la relación jurídica que vincula al Ayuntamiento de Telde y a Valora Gestión Tributaria, que ampara el acceso por parte de ésta a los datos personales de los sujetos obligados al pago de la Tasa de Recogida de Residuos Sólidos Urbanos, por virtud de la delegación de competencias formalizada al amparo de la normativa aplicable, pero la documentación formalizada no contiene ninguna referencia al artículo 12 de la LOPD, incumpliendo las obligaciones establecidas en relación al contenido del contrato de encargado del tratamiento. A este respecto, la Sentencia del Tribunal Supremo de 17/04/2007 declaró lo siguiente:

… lo que necesariamente exige una forma que refleje y deje constancia no sólo de su celebración sino de su contenido, que incluso se especifica en sus cláusulas imprescindibles en el propio precepto. Tal exigencia responde a la finalidad de la norma de garantizar que el acceso de terceros a los datos de carácter personal, objeto de tratamiento automatizado, se produzca únicamente en los casos y con las limitaciones legalmente establecidas, plasmándose las condiciones, finalidad y alcance de la cesión de forma que resulte controlable en su desarrollo y cumplimiento”.

Este planteamiento, que resulta de la aplicación de la normativa reguladora de la protección de datos de carácter personal, no se modifica por el hecho de que los encargos que se realicen a la entidad Valora Gestión Tributaria se lleven a cabo mediante acuerdos de delegación de facultados adoptados de conformidad con la normativa que el Ayuntamiento de Telde cita en sus alegaciones. Y tampoco el hecho de que Valora Gestión Tributaria esté configurado como un ente instrumental creado por el Cabildo de Gran Canaria para la gestión y recaudación de ingresos de derecho público y para prestar asistencia y apoyo técnico a los Municipios de la Isla supone que aquellas delegaciones de facultades queden fuera del ámbito de aplicación de la LOPD y sus normas de desarrollo, con el alcance que en cada caso corresponda.

El artículo 44.2.d) de la LOPD en su vigente redacción aprobada por Ley 2/2011, considera infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.”

En el presente procedimiento se imputa a la entidad Ayuntamiento de Telde una infracción del artículo 12.2 de la LOPD, que aparece tipificado como infracción leve en el mencionado artículo 44.2.d), que resulta de la falta de instrucciones a Valora Gestión Tributaria sobre las circunstancias previstas en aquel artículo, en relación con la delegación de las facultades de gestión, liquidación, inspección y recaudación de tributos e ingresos, en la tasa de recogida de residuos sólidos urbanos en cuanto a los apartados a) de gestión tributaria y b) de recaudación voluntaria, acordada por dicho Ayuntamiento en el Pleno celebrado en fecha 03/06/2013.

En el presente caso, la entidad Ayuntamiento de Telde, aunque se ha mostrado dispuesta, no ha justificado ante esta Agencia haber adoptado ningún acuerdo dirigido a subsanar las deficiencias formales que han motivado el procedimiento. Por tanto, procede requerir la adopción de medidas para impedir que en el futuro pueda producirse de nuevo una infracción de lo dispuesto en el artículo 12.2 de la LOPD.

Fuente. AEPD. PS-AAPP-0050-2015

Anuncios

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Estadística del blog

  • 108,148 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: