La AEPD apercibió al Ministerio de Cultura y Deporte (MCD) por deficiencias en la política de privacidad y de cookies de su plataforma «eBiblio», el servicio gratuito de préstamo de libros electrónicos, audiolibros y revistas digitales ofrecido a través de las bibliotecas públicas españolas (Resolución PS/00185/2022).
El Ministerio contrató a un tercero (LIBRANDA) para el desarrollo y la gestión operativa de la plataforma, pero no formalizó el correspondiente contrato de encargo del tratamiento, para regular el acceso a los datos personales de los usuarios por parte del encargado, tal como exige el artículo 28.3 del RGPD. Esta omisión constituye una infracción grave, tipificada en el artículo 83.4.a) del RGPD.
No fue la única infracción. También se incumplió el artículo 13 del RGPD, relativo al deber de informar a los interesados sobre diversos aspectos. En concreto, se constató que la información facilitada sobre la identidad del responsable del tratamiento era incorrecta e incompleta; no se proporcionaban los datos de contacto del delegado de protección de datos; se indicaba la posibilidad de recoger datos de ubicación sin especificar la finalidad, la base jurídica ni el plazo de conservación; se empleaban cookies estadísticas de terceros sin cumplir con las obligaciones de consentimiento para su instalación; se advertía sobre el posible almacenamiento de datos en Estados Unidos o Canadá sin detallar las medidas adoptadas para garantizar el cumplimiento del RGPD en materia de transferencias internacionales; y el apartado de «Términos y condiciones» no estaba redactado originalmente en castellano, lo que dificultaba su comprensión. En términos generales, las políticas de privacidad y de cookies presentaban graves deficiencias.
A pesar de la gravedad y pluralidad de los incumplimientos, la AEPD impuso únicamente un apercibimiento, acompañado de un requerimiento para subsanar las deficiencias en el plazo de seis meses. El incumplimiento de este requerimiento no conlleva automáticamente una sanción económica para las administraciones públicas, a diferencia de lo que ocurría si la organización perteneciese al sector privado.
Apercibimiento como sanción
La Ley 11/2023, de 8 de mayo, modificó el artículo 68, apartado 3, de la LOPDGDD para introducir el apercibimiento como sanción, así, en España, a las Administraciones y organismos públicos que incumplen la normativa de protección de datos no se les multa.
sta situación difiere de lo que ocurre en otros países. En Portugal, por ejemplo, el Ayuntamiento de Lisboa fue sancionado con 1.250.000 € por vulnerar diversas disposiciones del RGPD, entre ellas la falta de licitud en el tratamiento y la infracción de los principios de minimización, conservación y transparencia en relación con los datos personales de los promotores de manifestaciones.
No se trata de un caso aislado. La Comissão Nacional de Proteção de Dados también impuso una multa de 170.000 € al Ayuntamiento de Setúbal por incumplir el principio de integridad y confidencialidad de los datos personales de refugiados ucranianos, así como por no haber designado un delegado de protección de datos.
Asimismo, la autoridad portuguesa sancionó al Instituto Nacional de Estadística con una multa de 4.300.000 € por diversas infracciones relacionadas con la operación censal de 2021.
Conclusión
En España, ni se sanciona económicamente a las Administraciones y organismos públicos ni se exigen responsabilidades políticas en forma de cese o dimisión, cuando es sabido que estas entidades se encuentran en el punto de mira de los ciberatacantes (basta consultar el listado de víctimas que dejo enlazado aquí). Por ello, deberían cumplir escrupulosamente la normativa de protección de datos y garantizar la seguridad de la información, si bien una gran mayoría no lo hace, y así nos va.
