Con la publicación de la Memoria 2022 por parte de la Agencia Española de Protección de Datos, hemos podido ver, por primera vez, varias sanciones a Administraciones Públicas, abarcando tanto a consistorios como a empresas públicas o, por ejemplo, a La Dirección General de la Guardia Civil.
El caso que nos ocupa son las dos ciudades más importantes de la provincia de Burgos: La capital, Burgos, y Aranda De Duero.
En el caso del Ayuntamiento de Burgos la sanción viene por enviar correos a varios destinatarios sin usar la Copia Oculta (CCO), por lo que todos los destinatarios podían ver los datos personales del resto de destinatarios, entre los que se incluían el DNI, vulnerando, según la AEPD, los principios de «‘limitación de la finalidad’ e ‘integridad y confidencialidad’, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento». Una sanción, considerada muy grave, que podría acarrear una multa de 20 millones de euros.
Por su parte, el Ayuntamiento de Aranda de Duero fue sancionado por no tener Delegado de Protección de Datos. sanción de la que ya hemos hablado varias veces y que puede acarrear una multa de hasta 10 millones de euros.
Dos ayuntamientos sancionados, bueno, más bien apercibidos de sanción… Porque como sabemos todos es imposible que las Administraciones Públicas sean sancionadas monetariamente, tal y como recoge el RGPD: «Sin perjuicio de los poderes correctivos de las autoridades de control… cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro». o la LOPDGDD: “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” (órganos constitucionales, administraciones públicas y grupos parlamentarios)» incluyendo solo apercibimiento, actuaciones disciplinarias, amonestación y publicación en la web.
Lo que nos lleva a pensar que dónde queda el «dar ejemplo» de las Administraciones Públicas que incumplen las leyes y reglamentos de Protección de Datos y no pueden ser multadas. Estas dos sanciones, en el caso de empresas privadas tendrían una multa, y no pequeña, por lo que el «dar ejemplo» queda en el limbo…
Fuente: Diario de Burgos.