Desde la entrada en vigor del RGPD, la AEPD ha finalizado más de 60 procedimientos sancionadores contra ayuntamientos y otras administraciones públicas, todos ellos con la sanción de apercibimiento.

Recordemos que el RGPD establece en su artículo 87.3 que “[…] cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

En relación con el anterior artículo, el artículo 77 de la LOPDGDD define un régimen especial aplicable en materia de sanciones a determinadas categorías de responsables o encargados del tratamiento. En el punto 77.1.c) de dicho artículo se incluye la categoría de “La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local”. (las “AP”).

Pues bien, en base a la actual normativa (artículo 77.2 de la LOPDGDD), cuando las AP cometan cualquier tipo de infracción del RGPD o LOPDGDD, “[…] la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento”.

De esta manera la LOPDGDD limita toda sanción a las AP a un apercibimiento y a dictar unas “medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido”.

El problema de este contexto es que ante la falta de castigo, las AP carecen de alicientes para velar por el debido cumplimiento normativo del RGPD y la LOPDGDD. Algo que contrasta de sobremanera con las exigencias que el RGPD y la LOPDGDD imponen a las empresas privadas.

Caso real: Procedimiento PS/00447/2020 de la AEPD

Teniendo presente el contexto legal antes mencionado, el pasado 4 de octubre de 2021, la AEPD impuso a la Consejería de Cultura y Turismo de la Junta de Castilla y León (la “CCT”) una sanción de apercibimiento en su procedimiento PS/00447/2020 por infracción del RGPD.

Concretamente, el modelo de la hoja de reclamaciones aprobado por la CCT y utilizado para todo tipo de actividad turística regulada en Castilla y León está basado en la Orden de 28 de mayo de 1986. Una orden con mas de 35 años de antigüedad.

En consecuencia, a fecha del procedimiento, la CCT todavía no ha incorporado el contenido del precepto del artículo 13 RGPD al modelo de hoja de reclamaciones porque “la Orden vigente está en proceso de modificación”.

Esto tiene como resultado que cualquier persona que haya cumplimentado la hoja de reclamaciones en un local turístico en Castilla y León ha sido privada de la información exigida por el artículo 13 del RGPD.

Es decir, el incumplimiento de la CCT ha generado un incumplimiento en cascada de todos los locales turísticos de Castilla y León al no ofrecer a sus clientes en sus hojas de reclamaciones la información exigida en el artículo 13 del RGPD. De hecho, el presente procedimiento PS/00447/2020 fue iniciado como resultado de una reclamación dirigida contra un hostal, al carecer su hoja de reclamaciones “de información alguna sobre la recogida, finalidad de recogida y del tratamiento de datos, y del ejercicio de derechos de datos de carácter personal que supone dicha recogida”.

Conclusión

La falta de sanciones pecuniarias a las AP por infracción del RGPD puede crear una sensación de impunidad en donde cumplir con la ley pasa a ser un “trabajo extra para conseguir matrícula de honor”, en lugar de ser algo obligatorio. Esta situación sorprende especialmente cuando se contrasta con las exigencias que el RGPD y la LOPDGDD impone a las empresas privadas.

En los escenarios como el mencionado en la resolución PS/00447/2020 en donde el incumplimiento del RGPD por parte de las AP resulta en una infracción en cascada por parte de las empresas privadas, quizás el legislador debería haber previsto algún tipo de excepción a la regla de sancionar a las AP únicamente con un apercibimiento.

Para la redacción del presente post hemos utilizado la base de datos de procedimientos sancionadores de nuestro patrocinador, abc Compliance.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.