Transparencia
El Consejo de Transparencia y Protección de Datos investigará al Ayuntamiento de Cádiz
El Consistorio estaría incumpliendo la normativa de protección y omitiendo datos en las cláusulas informativas de la página web municipal
El Consejo de Transparencia y Protección de Datos de Andalucía ha ordenado el inicio de un procedimiento sancionador y de actuaciones de investigación contra el Ayuntamiento de Cádiz por el presunto incumplimiento de la normativa en materia de protección de datos al carecer de política de privacidad, no tener nombrado Delegado de protección de datos (DPO) y omitir el contenido del artículo 13 del Reglamento General de Protección de Datos (RGPD) en las cláusulas informativas de la web municipal.
La reclamación fue presentada por un particular en primer lugar en la Agencia Española de protección de Datos , que le dio traslado al Consejo andaluz por ser la autoridad de control competente en su tramitación. Este organismo le diotraslado al Ayuntamiento de Cádiz, a través de su Delegado de Protección de Datos, para que en un plazo de 3 meses alegara lo que estimara oportuno sobre los hechos por lo que se le acusa aunque, una vez transcurrido este tiempo no se ha dado por parte del Consistorio respuesta alguna . Es por ello que desde el Consejo decidido iniciar el procedimiento para su esclarecimiento.
Entre los incumplimientos está el no tener nombrado un DPO (Delegado de Protección de Datos) ante la Agencia Española de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía, conforme al artículo 37 del RGPD 2016/679 y artículo 34 de la LO 3/2018. Este DPO tiene que ser una persona externa al propio Ayuntamiento o personal interno con alto conocimiento en la materia.
Al parecer, lo que hacen las administraciones públicas normalmente es externalizar este servicios a través de un pliego. El DPO es la persona encargada de garantizar que todas las áreas del Ayuntamiento cumplen con los requisitos legales para garantizar el derecho fundamental a la Protección de Datos de los ciudadanos , usuarios y trabajadores, así como de contestar a los ejercicios de derechos ejercidos por los mismos. Además, de notificar posibles fugas de datos/brechas de seguridad, o incluso encargarse de las posibles reclamaciones o denuncias contra el Ayuntamiento de Cádiz.
Por otro lado, destacar que todas las administraciones públicas -al igual que los organismos privados- deben de tener un documento denominado «Registro de Actividades del Tratamiento» , conforme al artículo 30 del RGPD 2016/670, que debería estar publicado en el Portal de Transparencia municipal, como se establece en el artículo 31.2 de la LO 3/2018, algo que incumple el Consistorio. Este documento es un inventario de las actividades de tratamiento de datos personales que realiza el Ayuntamiento, identificando quién trata los datos, con qué finalidad y qué base jurídica legítima ese tratamiento.
Transparencia e información
Asimismo, el Ayuntamiento no sólo debe de cumplir la normativa de Protección de Datos y Transparencia de puertas hacia adentro, sino también, hacia fuera. Toda página web, debe de tener unos documentos a disposición de los usuarios, como son: Política de Privacidad, Política de Cookies y Aviso Legal .
El Ayuntamiento solo tiene el Aviso Legal y no está conforme a derecho. Está incumpliendo por tanto el artículo 12 y 13 del RGPD 2016/679 relativo al Principio de Transparencia e Información , en el que se indica que en la política de privacidad deben de aparecer algunos de estos aspectos, pero no es el caso (identidad y datos de contactos, contacto del DPO, fines del tratamiento, base legitimadora, posibles destinatarios de esos datos, plazo de conservación de los datos, derecho a ejercitar derechos en materia de Protección de Datos, derecho a presentar reclamación ante la autoridad...).
Otro de los hechos por los que se investigará al Ayuntamiento es por no cumplir el principio de legitimación ya que en el formulario de contacto que tiene el Ayuntamiento de Cádiz en su página web, no establece cuál es la base legitimadora, por lo que incumple este requisito, ya que está tratando los datos de las personas que contactan a través de la web de una manera «ilegítima e irregular», según consta en la denuncia. Esto supone una infracción muy grave de la normativa conforme al artículo 72.1-B de la LO 3/2018.
