La AEPD sanciona a un ayuntamiento por el uso indebido de datos personales en redes sociales

El manejo inadecuado de datos personales por parte de entidades públicas puede tener consecuencias significativas, tanto para los ciudadanos afectados como para las propias instituciones.

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha emitido un aviso al Ayuntamiento de Torrox en Málaga debido a la toma de fotografías de un DNI por parte de la policía local, infringiendo varios artículos del Reglamento General de Protección de Datos (RGPD).

Este caso subraya la importancia de cumplir con las normativas de protección de datos y resguardar la privacidad de los ciudadanos.

Sanción a ayuntamiento por mal uso de datos

La situación se desencadenó cuando agentes de policía local compartieron una fotografía en redes sociales que contenía la imagen de un DNI. Este acto constituyó una grave violación del derecho a la privacidad y protección de datos de la persona afectada.La afectada, al percatarse de esta vulneración, presentó una denuncia ante la AEPD, iniciándose así el procedimiento sancionador.

Este caso, aunque particular, no es aislado y refleja una tendencia preocupante en la gestión de datos personales por parte de algunas entidades públicas.

Origen de la reclamación

El caso comenzó cuando una mujer presentó una reclamación ante la AEPD tras un incidente con la policía local de Torrox. Según su testimonio, los agentes tenían la costumbre de fotografiar el DNI con sus móviles, incluyendo el suyo propio. A pesar de pedirles que no lo hicieran, los policías continuaron, alegando que taparían la foto. La afectada expresó que ella misma había llamado a la policía por un problema, pero fue tratada como si hubiera sido la denunciada.

Además, expresa que experimentó una invasión en su privacidad y una posible exposición a riesgos adicionales, como el robo de identidad. 

Incumplimientos detectados

La infracción se centró en dos artículos específicos del RGPD:

• Artículo 5.1.c): Este artículo subraya que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los cuales son tratados.
• Artículo 32: Este artículo hace referencia a la seguridad del tratamiento de datos personales.

La AEPD ha dado al Ayuntamiento un plazo de seis meses para suprimir las fotografías del DNI de la reclamante y establecer medidas adecuadas para cumplir con el RGPD, evitando así futuras infracciones.

Otro aspecto preocupante fue el uso de teléfonos móviles personales para tomar las fotografías, lo cual plantea serios problemas de seguridad y confidencialidad. Los dispositivos particulares quedan fuera del control del responsable del tratamiento, quien no puede asegurar la seguridad del dispositivo, incluyendo la instalación de programas y actualizaciones. La AEPD también recordó que estos dispositivos pueden perderse, lo que aumenta el riesgo de exposición de los datos personales.

Repercusiones legales para el ayuntamiento

El ayuntamiento, al ser responsable del actuar de sus agentes, fue sancionado por la AEPD. Y un mes después, recibió un informe del Jefe de la Policía Local.

En el informe, se argumentaba que las Fuerzas y Cuerpos de Seguridad del Estado están autorizadas para solicitar o tomar datos de personas por motivos de investigación o prevención. Además, aunque no existía un protocolo interno sobre el uso de documentos personales, se afirmaba que las fotografías se realizaban con el consentimiento del titular. En caso contrario, se tapaba la foto del documento.

El Ayuntamiento defendió la toma de fotografías del DNI como una cuestión de ahorro de tiempo y precisión en la toma de datos. Sin embargo, la AEPD destacó que, aunque las Fuerzas y Cuerpos de Seguridad pueden tratar datos de ciudadanos, deben hacerlo respetando las normas del RGPD.

En este caso, la recogida de datos podría haberse realizado mediante métodos menos invasivos, como la exhibición del DNI y la toma de datos por parte del agente.

La AEPD concluyó que el ahorro de tiempo no justifica el tratamiento adicional de los datos, especialmente cuando las fotografías no se eliminaron una vez cumplido el objetivo. Estas se mantuvieron en la base de datos durante tres meses sin una justificación clara.

Respuesta del Ayuntamiento a la sanción

La sanción impuesta busca no solo resarcir a la afectada, sino también concienciar a otras entidades sobre la importancia de proteger los datos personales. Esta sanción incluye no solo una multa económica, sino también la obligación de implementar medidas correctivas para evitar futuras infracciones.

En respuesta a la sanción, el ayuntamiento ha implementado una serie de medidas para evitar futuras infracciones y garantizar la protección de los datos personales.

• Una de las principales acciones emprendidas ha sido la formación específica en protección de datos para todos los empleados municipales, especialmente aquellos en contacto con información sensible. Esta formación incluye talleres y seminarios sobre las mejores prácticas en la gestión de datos personales, así como la importancia de cumplir con la normativa vigente.

• Además, se ha llevado a cabo una exhaustiva revisión de los protocolos y políticas internas relacionadas con el tratamiento de datos personales, asegurando su alineación con las exigencias del RGPD y la LOPDGDD. Esta revisión ha resultado en la actualización de las políticas de privacidad y la implementación de nuevas medidas de seguridad para proteger la información de los ciudadanos.
• El ayuntamiento también ha invertido en tecnología para mejorar la seguridad de los datos personales. Esto incluye la utilización de software de encriptación para proteger la información sensible y la implementación de sistemas de gestión de datos que cumplan con los más altos estándares de seguridad.

La importancia de cumplir con el RGPD y la LOPDGDD

El caso pone de manifiesto la crucial importancia de cumplir con las normativas vigentes en materia de protección de datos. Las entidades públicas y privadas deben ser conscientes de sus responsabilidades y adoptar las medidas necesarias para garantizar el derecho a la privacidad de los ciudadanos.

La imposición de sanciones ejemplares, como en este caso, actúa como una medida disuasoria para prevenir futuras infracciones y fomentar una cultura de respeto hacia la privacidad y protección de datos. Las sanciones no solo tienen un impacto económico, sino que también afectan la reputación de las entidades infractoras, incentivando así un comportamiento más responsable.

Compromiso con la seguridad de los datos personales

Este caso resalta la vital importancia de cumplir estrictamente con las normativas de protección de datos, tanto para entidades públicas como privadas.

La sanción impuesta al Ayuntamiento de Torrox por la Agencia Española de Protección de Datos (AEPD) subraya la necesidad de respetar el Reglamento General de Protección de Datos (RGPD), garantizando siempre la privacidad y seguridad de los datos personales.

Además, evidencia que el uso indebido de información sensible, como las fotografías de un DNI, puede acarrear serias consecuencias legales y reputacionales para las instituciones involucradas.

Adoptar medidas adecuadas, formar al personal y utilizar tecnologías seguras son pasos esenciales para prevenir infracciones y proteger los derechos de los ciudadanos.