Un Ayuntamiento publicó en su página web el Acta de la Junta de Gobierno que contenía los datos relativos al complemento de productividad de los trabajadores identificados mediante su nombre y sus apellidos.

Frente a esta publicación se presenta reclamación ante AEPD por varios empleados del Ayuntamiento.

Se imputa al ayuntamiento la comisión de una infracción por vulneración del Artículo 5.1.f) del RGPD, articulo 32 RGP y articulo 33 RGPD.

En sus alegaciones, el Ayuntamiento señala que no hubo falta de diligencia por su parte en la resolución de la brecha de seguridad, sino que esta fue debida a que los empleados públicos formularon reclamación ante la AEPD en vez de informar, como era su deber, al responsable del tratamiento de la brecha de seguridad acontecida.

Así, considera que esta actuación negligente de los empleados públicos fue lo que provocó una actuación tardía por el Ayuntamiento.

La AEPD rechaza tal alegación, pues los reclamantes no actuaron en su condición de empleados públicos vinculados por una relación estatutaria al Ayuntamiento y, por ende, obligados a comunicarle la incidencia en el marco de sus deberes estatutarios, sino que actuaron como interesados, como afectados por la brecha de seguridad, contando con toda la legitimidad para reclamar a la AEPD directamente, tal y como les permite el ordenamiento jurídico.

Entiende la Agencia que los datos de 126 empleados públicos han quedado indebidamente expuestos, debido a la publicación del Acta de la Junta de Gobierno, datos que no deberían ser accesibles a terceros en virtud de lo establecido en el art. 70 de la Ley 7/1995 de 2 de abril, reguladora de las Bases de Régimen Local, en relación con el art. 18 de la Ley 40/2015 de 1 de octubre, de Régimen Jurídico del Sector Público, con lo que queda acreditada la infracción del art. 5.1.f) RGPD.

Por otra parte, el hecho de que los datos personales de los empleados públicos se publicasen en el BOP sin haberse procedido previamente a su anonimización, indica que el Ayuntamiento no contaba con las medidas organizativas y técnicas apropiadas, por lo que se considera cometida la infracción del citado artículo 32 del RGPD.

Asimismo, el presente caso consta que la notificación de la brecha de seguridad a la AEPD se produjo con posterioridad al plazo señalado en el artículo 33 del RGPD, sin que haya ningún tipo de circunstancias que avalen la indebida dilación.

No obstante, no hay constancia de la utilización por parte terceros de los datos personales obtenidos a través de la brecha y no estuvo indexada en la web, de forma que solo se podía acceder a la misma si se conocía la ruta o URL.

Por tanto, la AEPD resuelve sancionar con apercibimiento al Ayuntamiento por estas infracciones.

Resolución AEPD de 4 de abril de 2022, PS/00396/2021.