El afectado presentó reclamación ante la autoridad de control debido a que, durante la tramitación de un procedimiento administrativo, el Ayuntamiento de Vigo le envió dos cartas (a diferencia de lo que había realizado con anterioridad, puesto que las notificaciones se le habían estado remitiendo telemáticamente) en cuyos sobres constaban, de manera claramente visible, las siguientes referencias: “DILIGENCIA DE EMBARGO” y “NOTIFICACIÓN PROVIDENCIA DE APREMIO”, así como los números del expediente.
Ante dicha reclamación, el DPO del Ayuntamiento envió respuesta en la que únicamente hacía constar que se había iniciado una revisión interna para garantizar que el procedimiento de notificación cumplía con el principio de minimización de datos o que estas notificaciones se efectuaban conforme a la normativa vigente. Asimismo, se ponía de manifiesto que las notificaciones que se envían a personas que no tienen la obligación de relacionarse electrónicamente con la administración se llevan a cabo tanto por vía postal como por vía telemática, siendo este el motivo por el que el afectado recibió dichas cartas.
Una vez se acordó incoar el procedimiento sancionador por la AEPD, el Ayuntamiento de Vigo presentó escrito de alegaciones en el que reconocía los hechos e informaba de las medidas adoptadas para evitar que esta situación volviera a tener lugar (así, se han eliminado de los sobres las referencias al contenido de la comunicación, sustituyéndolas por una expresión genérica: “NOTIFICACIÓN ADMINISTRATIVA”).
La autoridad de control declara en su resolución que los responsables tienen la obligación de garantizar la confidencialidad de los datos que tratan, aplicando medidas de seguridad que impidan la existencia de posibles filtraciones. No obstante, en los sobres se incluyeron referencias que informaban a terceros sobre el hecho de que el destinatario tenía una deuda pendiente de pago en vía ejecutiva, que la administración había ordenado la ejecución, así como que se proceda al embargo de sus bienes para poder cobrar la deuda. Adicionalmente, debido a que se incluía incluso el número de expediente, también se tenía acceso a esa información.
En este sentido, se pone de manifiesto, respecto al concepto de dato personal, que este “ha de interpretarse en un sentido amplio, comprendiendo no sólo los datos personales recabados y conservados por el responsable del tratamiento, sino toda la información resultante de dicho tratamiento”.
A la vista de lo anterior, se concluye que en el momento de remitir las cartas, no se aplicaron las medidas necesarias para garantizar la confidencialidad del tratamiento (incluyendo información innecesaria para la finalidad perseguida – en este sentido, se declara que la única información que debía indicarse eran “los datos de identidad y el domicilio”-), facilitando el acceso ilícito de terceros a datos que conciernen al interesado y vulnerando el artículo 5.1.f) del RGPD.
