La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de apercibimiento al Ayuntamiento de Santiago de Compostela por no aplicar las adecuadas medidas de seguridad para la protección de información personal en un requerimiento de identificación de conductor.
Según se puede leer en la resolución de la Autoridad de Control, el 10 de mayo de 2022 la parte reclamada –el ayuntamiento gallego– notificó, a través de un funcionario de Correos, un requerimiento de identificación de conductor a la parte reclamante. Esta notificación por una supuesta infracción de tráfico fue recogida, en el domicilio postal de la reclamante, por el abuelo de ésta.
Al encontrarse con el documento, la ciudadana decidió interponer una reclamación ante la AEPD denunciando que había recibido “una carta no certificada sin sobre remitida por la parte reclamada” y que la misma “venía doblada de tal manera que todas las personas por las que ha pasado han podido ver mis datos personales, que figuran en el reverso de la misma. Datos como: DNI, nombre y apellidos, marca y modelo de coche…, así como han podido ver que la carta es una denuncia por exceso de velocidad”.
Efectivamente, la Agencia describe que en el anverso del requerimiento enviado a la parte reclamante, cuando éste está doblado y cerrado, se ve lo siguiente: logo del Concello de Santiago, la dirección de la Oficina de Gestión de Multas, código de barras, que se trata de un “requerimiento de identificación de conductor” y nombre, apellidos y dirección del reclamante como destinatario de la carta. En el reverso del requerimiento, y una vez retirado el aviso de recibo de color rosa relativo a la notificación, se ve fecha y hora de la denuncia; clase de vehículo; matrícula, marca y modelo del vehículo; nombre, apellidos, domicilio y DNI del reclamante; hechos denunciados, así como el importe de la sanción.
Ante este asunto, la AEPD sólo puede dar la razón a la conductora infractora que recibió una notificación que no protegía adecuadamente sus datos personales. La Autoridad de Control sanciona al Ayuntamiento de Santiago de Compostela al entender que “al retirar el agente notificador el justificante de entrega adherido a la misma, quedaron expuestos a cualquiera los datos del procedimiento sancionador que eran objeto de notificación”.
En este punto, la Agencia Española de Protección de Datos estudia los artículos 5, 32, 75 y 83 del Reglamento General de Protección de Datos (RGPD) sobre los principios relativos al tratamiento, las medidas de seguridad y los factores asociados a riesgos para las garantías de derechos y libertades y detalla que “la responsabilidad de la parte reclamada viene determinada por la quiebra de seguridad puesta de manifiesto en la reclamación y documentación aportada, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, para asegurar que los datos no queden a la vista de cualquier persona que reciba el envío. Al no existir un elemento físico que impida o ponga de manifiesto el acceso indebido al contenido de la comunicación postal, los datos personales quedan desprotegidos”.
Finalmente, la AEPD afirma que, en este caso, la corporación gallega infringió el artículo 5.1.f) del RGPD, así como el artículo 32.
Fuente: Expansión Jurídico