Los ayuntamientos de Burgos y de Aranda de Duero integran la lista -aunque por diferentes motivos- de las 14 administraciones públicas que no han atendido a los requerimientos de la Agencia Española de Protección de Datos (AEPD) en el último año y que han sido sancionadas por incumplir la norma en cuanto al tratamiento de los datos personales de los ciudadanos de su competencia. Se trata de un tema extremadamente sensible dada la proliferación ciberataques y uso delictivo de los datos personales protegidos.

En concreto, el Ayuntamiento de la capital fue sancionado el 21 de agosto de 2020 por remitir correos electrónicos sin utilizar la opción CCO (copia carbón oculta), que impide que los destinatarios puedan acceder a datos de carácter personal de otros destinatarios. 

En concreto, el Consistorio recibió una reclamación de un usuario porque su correo electrónico y su número de DNI no estaban ocultos, lo que, según la resolución de la AEPD, «supone la vulneración de los principios de 'limitación de la finalidad' e 'integridad y confidencialidad' regulados [...], así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento».

El 28 de agosto, la AEPD requirió al Ayuntamiento que, en el plazo de un mes, acreditase que había adoptado las medidas necesarias para cumplir con la normativa.

El Ayuntamiento no contestó pasado el mes y tampoco en las dos ocasiones más en las que la AEPD le requirió (el 8 de octubre de 2020 y el 16 de septiembre de 2021).

Ante el silencio municipal, la directora de la AEPD, Mar España Martí, inició un procedimiento sancionador el 21 de marzo de 2022, al que tampoco se ha presentado alegación alguna por parte de la administración reclamada.

La resolución advierte que el Ayuntamiento se enfrenta a multas administrativas que pueden llegar hasta 20 millones de euros, considerando «muy grave» el incumplimiento de las resoluciones dictadas por la autoridad de protección de datos.

No obstante, por el momento, la AEPD opta por una sanción de apercibimiento, por la comunicación de la resolución al Defensor del Pueblo y por la inclusión del Ayuntamiento en la lista de administraciones apercibidas.  

Delegado. En el caso del Ayuntamiento de Aranda de Duero es la falta de un delegado de protección de datos y el silencio a las dos notificaciones enviadas por la AEPD lo que motiva la sanción.

El delegado de protección de datos puede ser un empleado municipal o contratarse a una empresa externa. Es una figura obligatoria y su ausencia puede conllevar una multa administrativa de hasta 10 millones de euros   

Los avisos al Ayuntamiento arandino datan de febrero y abril de 2022 y el procedimiento sancionador se fechó el 15 de julio de 2022, al que tampoco se formula ninguna alegación. 

La resolución que hace pública la AEPD establece una sanción de apercibimiento, exigiendo el nombramiento de un delegado de protección de datos en un mes.

Burgos y Aranda forman parte de un listado de sancionados en los que se encuentran, entre otros, la Dirección General de la Guardia Civil, la Empresa Municipal de Transportes Urbanos de Gijón, residencias de ancianos de Asturias y otros ayuntamientos de más de 20.000 habitantes como los de Oria, Majadahonda, Llanos de Aridane, Cambre, Arrecife, Moncada, Algete o San Andrés de Rabanedo.

La lista está compuesta por Administraciones Públicas que no cumplen con los requerimientos de información remitidos por la Agencia, así como aquellas que no adecuan el tratamiento de datos a la legalidad y no acreditan las medidas correctivas impuestas. Tanto la falta de respuesta a los requerimientos como no acreditar que se han cumplido las medidas ordenadas para garantizar la protección de datos de los ciudadanos suponen infracciones clasificadas como muy graves.