¿Puede usarse el correo electrónico almacenado en un fichero de atención al ciudadano para fomentar la participación ciudadana en un Ayuntamiento?

Miniatura noticia

La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha dictado sentencia el 22 de febrero de 2019, confirmando la resolución dictada por la Agencia Española de Protección de Datos (AEPD) que había declarado la comisión de una infracción grave por parte del Ayuntamiento de Madrid, por haber vulnerado el principio de calidad de datos de la ya derogada LOPD (artículo 4 apartados 1 y 2).

El citado Ayuntamiento había utilizado las direcciones de correo electrónico de varios vecinos, que se habían almacenado en el fichero “Servicios de Atención al Ciudadano” para informar de la apertura de un nuevo sitio web (Decide Madrid), cuya finalidad es que los ciudadanos, previo registro, envíen ideas para mejorar la ciudad de Madrid.

De hecho, y según se desprende de esta sentencia, se habían enviado un total de 223.000 correos electrónicos.

Entre las alegaciones que realiza ese Ayuntamiento destaca la referente a que el tratamiento del dato del correo electrónico no es incompatible con la finalidad que motivó su recogida originaria, ya que “encaja plenamente en las competencias municipales. Se invoca el artículo 4 del Reglamento Orgánico de Participación Ciudadana del Ayuntamiento de Madrid de 31 de mayo de 2004”.

De esta forma, “Se acordó utilizar el dato de la cuenta de correo electrónico de aquellos usuarios que constaba en el sistema CRM, que da cobertura técnica al tratamiento de datos del fichero “Servicios de Atención al Ciudadano” con el objeto de enviarles información por el Delegado del Área de Gobierno de Participación Ciudadana, Transparencia y Gobierno Abierto. Y en este sentido, en el correo que se remitió, como ha quedado anteriormente reseñado, se indica que se ha utilizado para realizar el envío del correo la dirección de correo electrónico que consta en el fichero “Atención al Ciudadano”.

Sobre si este uso es compatible o no con la finalidad que recabó su recogida inicial, en la sentencia se indica lo siguiente:

Y esto es lo que ha acontecido en el caso que nos ocupa, ya que la finalidad del fichero al que se incorporaron los correos electrónicos de los ciudadanos, era para facilitar la gestión de contactos con los ciudadanos, que unido al servicio “Línea Madrid” , hay que referirlos la gestión concreta que los ciudadanos pretendían realizar en algún servicio del Ayuntamiento.

Ello no ampara, como pretende la parte recurrente, que se encuentre incluido en el consentimiento de los ciudadanos para la utilización de su correo electrónico para recibir el correo en cuestión, siendo una finalidad distinta que hubiese requerido un consentimiento al efecto.

La finalidad de la información de la existencia de una plataforma para dar ideas a fin de mejorar la ciudad, no puede quedar comprendida, dentro del consentimiento dado para el fichero de donde se obtuvieron las direcciones de correo electrónico, que era para facilitar la gestión de contacto con el ciudadano. Por otro lado, el art. 69.1 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local , prevé que ” Las Corporaciones locales facilitaran la más amplia información sobre su actividad y la participación de todos los ciudadanos en la vida local”, y una cosa, es la información sobre la participación de los ciudadanos en la vida local, y otra, como se deriva de los correos enviados, una información sobre la existencia de una plataforma para exponer ideas para mejorar la ciudad, que rebasa para la finalidad para las que el dato de carácter personal, como es la dirección de correo electrónico.

Muestra de ello, que dicho dato se recoge de un solo fichero, como es el “Atención al Ciudadano”, y no de otros, habiéndose necesitado para ello un acuerdo de 3 de agosto de 2015 entre la Dirección General de Calidad y Atención al Ciudadano, responsable del servicio “Línea Madrid”, y la Dirección General de Participación Ciudadana.

Igualmente, tampoco ampara la no necesidad de consentimiento para el envío del correo electrónico en cuestión, el art. 4 del Reglamento Orgánico de Participación Ciudadana del Ayuntamiento de Madrid de 31 de mayo de 2004 , por las mismas razones antes expuestas, y sobre todo, en relación con el segundo denunciante, que no está empadronado en Madrid, ya que no resultaría aplicable, pues el mismo hace referencia a los ciudadanos de Madrid, y así el párrafo primero establece: ” El Ayuntamiento de Madrid garantizará a los ciudadanos del municipio su derecho a la información sobre la gestión de las competencias y servicios municipales, de acuerdo con las disposiciones legales vigentes y la presente normativa, con los únicos límites previstos en el artículo 105, párrafo b), de la Constitución “.

Por otra parte, y aunque los hechos ocurrieron antes de que el RGPD fuese ya de aplicación, destacar que la última parte de la sentencia se dedica a incidir sobre la regulación del consentimiento en la norma europea, transcribiendo los considerandos 32, 39, 43 y 50, así como también transcribir el artículo 6 de la LOPDGDD, para terminar con la siguiente conclusión al respecto:

Por lo que en virtud de lo expuesto, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos, y los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida, y con el objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, debe tener en cuenta, entre otras cosas, cualquier relación entre los fines del tratamiento original y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior.


2 comentarios

  1. Gontzal Gallo
    25 de abril de 2019 @ 08:35

    Como siempre, Francisco Javier, muy interesante la Sentencia, pero una cosa no me queda clara ¿Porque la Audiencia Nacional se mete a analizar el consentimiento en el RGPD cuando, en teoría, las base jurídica de los tratamientos en la Administración Pública no debe ser el consentimiento (véase el Considerando 43 del RGPD)?

    Saludos

    Responder

  2. Jordi Bacaria Martrus
    17 de noviembre de 2019 @ 09:44

    Mi comentario llega muy tarde porqué ha sido ahora cuando he necesitado acudir a esta sentencia. Yo lo veo como Gontzal y más en el escenario del RGPD, aunque me parece que el problema fue un error del ayuntamiento de Madrid, que quizá pidió el consentimiento para tratar los datos de los ciudadanos para la la recogida inicial. Entonces, a partir de aquí falla la base jurídica que fundamenta el tratamiento de la segunda finalidad.

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*