La Agencia Española de Protección de Datos ha impuesto al citado Ayuntamiento una sanción de apercibimiento por infringir el artículo 5.1.f) del RGPD (principio de integridad y confidencialidad) y el artículo 32.1 del mismo cuerpo normativo (seguridad del tratamiento), debiendo acreditar adicionalmente la adopción de medidas que permitan impedir que vuelvan a producirse incidencias similares.
En este caso, se interpuso la reclamación debido a que el Ayuntamiento, con ocasión de la presentación de un escrito por la reclamante con más de 400 firmas de particulares en el que se prestaba apoyo a una protesta vecinal, publicó en su perfil público de Facebook la respuesta al mismo incluyendo los datos personales (nombre, apellidos y dirección postal) de la reclamante.
Una vez notificado el acuerdo de inicio del procedimiento sancionador por parte de la AEPD, el Ayuntamiento presentó escrito de alegaciones en el que ponía de manifiesto, entre otras cuestiones, que la reclamante actuaba en nombre y representación de todos los vecinos (no en su propio nombre), por lo que, al haberse negado a recibir la notificación de la respuesta al escrito presentado, impidiendo de esta forma que el resto de vecinos tuvieran conocimiento de su contenido, se tomó la decisión de publicarlo en la red social.
Afirma la autoridad de control que, habida cuenta de lo anterior, se ha evidenciado que se ha vulnerado el principio de confidencialidad (cuya finalidad es evitar que se realicen filtraciones de datos no consentidas por sus titulares) “al permitir el acceso
a los datos carácter personal como consecuencia de la publicación del escrito de la
parte reclamada en las redes sociales”.
De este modo, se ha llevado a cabo un tratamiento de datos en un medio en el que, por sus características, “se pueden multiplicar sus efectos al compartir otros usuarios la noticia”. En este sentido, se hace constar que el propio reclamado reconoció los hechos (si bien afirmó que la publicación se realizó con ocasión de la actuación de la reclamante y que buscaba proteger el derecho de los vecinos a conocer el contenido del escrito, la AEPD pone de manifiesto que “podría haber procedido eliminando los datos de carácter personal y anonimizando los mismos” de modo que el derecho a la protección de los datos personales de la reclamante no se viera afectado), siendo retirada la publicación tan pronto tuvo conocimiento de la situación.
Asimismo, se declara por la Agencia que se ha infringido el artículo 32 del RGPD por cuanto se ha producido un incidente de seguridad al no haberse implementado medidas adecuadas que garantizaran la seguridad de los datos, lo que propició “la publicación en el perfil del Concello en Facebook de la notificación de respuesta al escrito presentado por la reclamante donde son accesibles datos de carácter personal”.
Puede acceder a la resolución de la autoridad de control aquí.