Se ha declarado infracción de la Ley Orgánica de Protección de Datos en el Ayuntamiento de Pioz.
Los hechos probados y fundamentos de derecho son los siguientes:
HECHOS PROBADOS
1) El Ayuntamiento de Pioz no tiene fichero alguno inscrito en el Registro General de la Agencia Española de Protección de Datos.
2) El Ayuntamiento de Pioz está tramitando la creación de la disposición general que apruebe los ficheros, para su posterior notificación a la Agencia, habiendo enviado un listado-borrador que contiene 16 ficheros.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
II
El ámbito de aplicación de la LOPD se contiene en el artículo 2.1:
«La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.»
Los datos necesarios para la gestión de impuestos, ya sea a título propio como
desarrol ado por una tercera entidad que le presta servicios para el o, son como mínimo, nombre y apel idos, dirección, y adicionalmente los relacionados con cada clase de impuesto o de servicio público. Si son datos tributarios pueden existir padrones fiscales, si son de servicios básicos pueden ser Padrones de diversos tipos como el «Padrón de aguas y alcantaril adlo jul-sep 09» que consta en el recibo aportado por el denunciante en folio 3.
Esos datos han de estar registrados en un soporte físico ya sea informático o no, y ese soporte físico ha de permitir su tratamiento o debemos estar ante datos «susceptibles de tratamiento «. Teniendo en cuenta la amplitud de la definición de tratamiento del artículo 3.c de la LOPD «Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias», ese tratamiento no puede depender de la técnica para el manejo de los datos e incluye así tanto el tratamiento de datos automatizado como el manual. Si el tratamiento se realiza de forma manual precisa que los datos estén contenidos o destinados a un fichero. Mientras que el tratamiento es un proceso o procedimiento técnico, sujeto a criterios preestablecidos que son los propios del fichero donde los datos personales están contenidos o destinados, así todo fichero de datos exige para tener esta consideración de una organización o estructura con arreglo a criterios determinados. Los datos estarán estructurados con criterios determinados al introducirse en un programa. También existen y se pueden tratar datos en papel.
De conformidad con el artículo 106 de la Ley 7/1985, los Ayuntamientos tienen autonomía para establecer y exigir tributos de acuerdo con lo previsto en la legislación del Estado reguladora de las Haciendas locales y en las leyes que dicten las Comunidades Autónomas en los supuestos expresamente previstos en aquél a. La potestad reglamentaria de las entidades locales en materia tributaria se ejercerá a través de ordenanzas fiscales reguladoras de sus tributos propios y de ordenanzas generales de gestión, recaudación e inspección. Las Corporaciones locales podrán emanar disposiciones interpretativas y aclaratorias de las mismas. Es competencia de las entidades locales la gestión, recaudación e inspección de sus tributos propios, sin perjuicio de las delegaciones que puedan otorgar a favor de las entidades locales de ámbito superior o de las respectivas Comunidades Autónomas, y de las fórmulas de colaboración con otras Entidades locales, con las Comunidades Autónomas o con el Estado, de acuerdo con lo que establezca la legislación del Estado.
La titularidad en la gestión supone que los vecinos de la localidad que cumplan los hechos imponibles de las normas tributarias hayan de rendir cuentas ante el Ayuntamiento, al que deberán aportar la documentación oportuna para su gestión y abonar los mismos, como pueden ser la domiciliación de recibos entre otros trámites. No cabe duda de que inicialmente los datos surgen del Ayuntamiento a quien los vecinos se los proporcionan.
El segundo ámbito en el que el Ayuntamiento puede manejar datos de carácter personal es de la prestación de servicios públicos mediante el abono de tasas, como la basura y el alcantarillado.
En el caso de gestión de servicios municipales por parte de la Diputación Provincial, obra en la web de la Agencia, el informe Jurídico 541/2008, que se puede consultar en «Documentación» «informes Jurídicos «Conceptos Generales» que se incorporó al procedimiento, que señala:
«Será responsable del fichero o del tratamiento, conforme al artículo 3 d) de la Ley, «persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento». Por su parte, es encargado del tratamiento, según el artículo 3 g), «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento».
Asimismo, a los efectos del presente supuesto es relevante tener en consideración lo dispuesto en último párrafo del artículo 20.1 del Reglamento de desarrol o de la Ley Orgánica 15/1999, aprobado por Real decreto 1720/2007, de 21 de diciembre, según el cual «se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado».
De este modo, la existencia de un encargado del tratamiento vendrá delimitada por la concurrencia de dos características derivadas de la normativa anteriormente citada: la imposibilidad de decisión sobre la finalidad, contenido y uso del tratamiento y la inexistencia de una relación directa entre el afectado y el encargado, que deberá en todo caso obrar en nombre y por cuenta del responsable como si la relación fuese entre éste y el afectado.
La consulta se refiere a la gestión «de servicios administrativos», haciéndose referencia a algunos tales como el de agua o recogida de basuras.
A tal efecto, debe recordarse que el artículo 8.1 de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público define el contrato de gestión de servicios públicos, señalando que «El contrato de gestión de servicios públicos es aquél en cuya virtud una Administración Pública encomienda a una persona, natural o jurídica, la gestión de un servicio cuya prestación ha sido asumida como propia de su competencia por la Administración encomendante».
A su vez, dispone el artículo 251.1 que «La Administración podrá gestionar indirectamente, mediante contrato, los servicios de su competencia, siempre que sean susceptibles de explotación por particulares. En ningún caso podrán prestarse por gestión indirecta los servicios que impliquen ejercicio de la autoridad inherente a los poderes públicos», regulando el artículo 253 sus modalidades de contratación de concesión, gestión interesada, concierto y sociedad de economía mixta.
Por su parte, la disposición adicional trigésimo primera dispone en el primer párrafo de su apartado 2 que «Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquél tendrá la consideración de encargado del tratamiento».
Lo dispuesto en el mencionado precepto no implica necesariamente que en la totalidad de los supuestos en los que como consecuencia de la celebración de un contrato sujeto a la Ley 30/2007 la entidad adjudicataria acceda a datos de carácter personal de los administrados su condición será la de encargado del tratamiento, sino que tal situación se dará en los supuestos en los que la condición de responsable, es decir dotada del poder de decisión sobre la finalidad, contenido y uso del tratamiento, sólo pueda predicarse de la Administración contratante.
En consecuencia, es posible que la celebración de un contrato administrativo genere una relación directa entre el adjudicatario y el administrado, lo que otorgará a aquél la condición de responsable del tratamiento, produciéndose una cesión de datos de la Administración contratante al adjudicatario, que tendrá su fundamento en la propia naturaleza del contrato descrita en la Ley de Contratos del Sector público y, por ende, en el artículo 11.2 a) de la Ley Orgánica 15/1999.
Para delimitar los supuestos en los que el adjudicatario tendrá la condición de responsable o encargado del tratamiento deberá partirse, precisamente, de la propia naturaleza del contrato y de las consecuencias de su celebración, en el sentido de determinar si de la adjudicación se derivará el nacimiento de una relación directa entre quien gestiona el servicio público y el administrado que hace uso de tal servicio. La delimitación nacerá precisamente de lo que señala el artículo 251.1 de la Ley 30/2007, dado que cuando lo que se contrata o concierta es la colaboración de una entidad pública o privada o de otra Administración en el ejercicio por la Administración competente de una determinada potestad de derecho público, la misma no se desplaza de la competente a la entidad o Administración contratada para el ejercicio de dicha potestad, sino que permanece en la propia Administración titular de la competencia, actuando aquél a como un representante de ésta.
Así sucederá, por ejemplo, en caso de que una Diputación Provincial u otra entidad local o una empresa municipal, colabore con un Ayuntamiento en la gestión tributaria, de conformidad con lo dispuesto en la Ley reguladora de las Bases del Régimen Local. En ese supuesto, será el propio Ayuntamiento, como titular de la potestad tributaria en el ámbito municipal, quien siga ostentando la condición de responsable del fichero, no pudiendo ser la entidad colaboradora más que una encargada del tratamiento que, por ejemplo, recauda el tributo municipal en nombre y por cuenta del titular de la potestad tributaria.
Sin embargo, en los supuestos en los que se produce la celebración de un contrato de gestión de servicios públicos, lo que exigirá que el objeto del contrato no se encuentre vinculado al ejercicio de potestades de derecho público o de «potestades inherentes a los poderes públicos», en términos de la Ley 30/2007, la ejecución del contrato l evará aparejada la creación de una relación directa entre la entidad adjudicataria y el administrado, de forma que, teniendo en cuenta las modalidades previstas en el artículo 253 de la citada Ley, el adjudicatario facturará directamente y en su propio nombre al administrado el servicio prestado, no apareciendo tal facturación vinculada al ejercicio de potestades públicas ni encontrándose sometida al derecho administrativo, teniendo en consecuencia el administrado la condición de «cliente» del servicio prestado por la entidad adjudicataria. En estos casos, cabrá considerar que dicha entidad que gestiona el servicio público tiene la condición de responsable del fichero y no de encargada del tratamiento.
Así sucederá en el ejemplo al que se refiere documentalmente la consulta, en que la empresa adjudicataria de la gestión de servicios de suministro de agua mantendrá, en principio, una relación directa con los vecinos, siendo responsable de los ficheros relacionados con la prestación de ese servicio. No obstante, si se encomendasen a la misma empresa otras actividades, como por ejemplo, la recaudación de tasas municipales, la misma tendría en relación con los ficheros vinculados a esa labor recaudatoria, la condición de encargada del tratamiento, dado que la tasa únicamente podrá ser recaudada en nombre y por cuenta de la Administración titular de la potestad tributaria.
III
En cuanto al fichero «Padrón Municipal«, el régimen jurídico del Padrón Municipal viene recogido en los artículos 15 y siguientes de la Ley de Bases de Régimen Local, en la redacción dada por la Ley 4/1996, de 10/01, en cuyo cumplimiento los municipios deben organizar y mantener el fichero previsto legalmente. En cuanto a su naturaleza jurídica se concibe como un registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo. Las certificaciones que de dichos dates se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos (Artículo 16.1 de la Ley 7/85, modificada por la Ley 4/96). La importancia del Padrón es capital si se tiene en cuenta que al contener la relación de vecinos del pueblo es el «fichero matriz» desde el que se canaliza la prestación de diversos servicios municipales tan dispares como la asistencia sanitaria, gestión tributaria, policía local etc. Los datos que se inscriben en el Padrón municipal son los siguientes:
a) Nombre y apel idos.
b) Sexo.
c) Domicilio habitual.
d) Nacionalidad.
e) Lugar y fecha de nacimiento.
f) Número de documento nacional de identidad o. tratándose de extranjeros, del documento que lo sustituya,
g) Certificado o título escolar o académico que se posea.
h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución. (Artículo 16.2 de dicha Ley)
El artículo 17.1 de la LBRL dispone que «la formación, mantenimiento, revisión y custodia del Padrón municipal corresponde al Ayuntamiento, de acuerdo con lo que establezca la legislación del Estado«.
IV
Una vez que se constata que los datos para gestionar los impuestos propios del Ayuntamiento, así como los servicios públicos que proporciona y que el Padrón es un fichero que contiene datos, y que los tres tipos de datos se pueden y se manejan por el Ayuntamiento, se determina que ha infringido el artículo 20.1 que determina:
«La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente.
El artículo 55.1 del Real Decreto 1720/2007, de 21/12, por el que se aprueba el reglamento de desarrol o de la LOPD, indica «Todo fichero de datos de carácter personal de titularidad pública será notificado a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente.»
El 56 del Reglamento señala:
«1.La notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes empleados para el tratamiento de los datos.
2. Cuando los datos de carácter personal objeto de un tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte no automatizado de un fichero automatizado sólo será precisa una sola notificación, referida a dicho fichero.»
Si bien en el presente supuesto, obran inscritos los ficheros que el prestador de servicios, Diputación efectúa por cuenta del Ayuntamiento, este los crea para efectuar la propia gestión que desarrol a, supliendo la capacidad de gestión del Ayuntamiento.
La tipificación que corresponde con la falta de notificación de los ficheros que se crean se hal a en el artículo 44.3 a) que señala como tal: «Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente.
El ciudadano a quien proporciona los datos es al Ayuntamiento, siendo este el que decide como responsable del mismo el uso de los mismos, que precisa ineludiblemente para el cumplimiento de las competencias que las normas le atribuyen.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR que el AYUNTAMIENTO DE PIOZ ha infringido lo dispuesto en el artículo 20.1 de la LOPD, tipificada como grave 44.3.a) de de la citada Ley Orgánica.