Cort deberá pagar 30.000€ por el caso de las tarjetas gratis total de la SMAP

La denuncia ante este organismo estatal fue formulada en 2016 por los grupos municipales del PP y Ciudadanos, después de que el concejal de Movilidad y presidente de la SMAP, Joan Ferrer, comunicara en mayo de 2016 al consejo de administración de la empresa su decisión de retirar la tarjeta a nueve concejales de la oposición que disponían de ella "por el uso indebido, excesivo y no justificable". En concreto, explicó los casos, a su juicio "sangrantes", de los concejales del PP Fernando Rubio y Álvaro Gijón. Como consecuencia del control realizado se comprobó que la tarjeta de la concejala del PP, Antònia Roca, había sido duplicada fraudulentamente por un empleado de la SMAP -que fue despedido- y utilizada por una persona totalmente ajena a la sociedad municipal, sin que ella la hubiera empleado nunca.

En la sentencia, los magistrados de la Sección Primera desestiman el recurso planteado por la Sociedad Municipal y ratifica la Resolución de la directora de la AEPD, de 27 de noviembre de 2017, en la que acordó imponer una multa de 30.000 euros por infracción del artículo 10 de la Ley de Protección de Datos de Carácter Personal.

De acuerdo con los hechos probados de la Resolución de Protección de Datos, la Sociedad Municipal confeccionó listados de datos de concejales que usaban la tarjeta de aparcamiento gratuita que ponían de relieve el uso de dos ficheros sobre aparcamientos municipales y usuarios.

Uno de ellos, de "expedientes abonados" con nombre, apellidos, matrícula, marca y modelo de vehículo, con datos personales de usuarios de tarjetas de acceso a los aparcamientos explotados por la SMAP y otro de "control entrada/salida de vehículos" con datos relativos a los accesos a los aparcamientos.

Cada tarjeta se asociaba a un código de usuario e internamente tenía un número individualizado y exclusivo, con la matrícula del vehículo como dato asociado a la tarjeta. Estos datos combinados, proporcionados en su mayor parte por los usuarios, permitieron conocer el uso que hicieron de tales aparcamientos, "sin que la entrega de la tarjeta estableciese condición alguna", según la AEPD.

Esta información fue obtenida con motivo de una investigación que se inició por robos en los aparcamientos. En su resolución la AEPD señalaba que dicha información fue expuesta en la reunión del Consejo de Administración de 19 de mayo de 2016 y al día siguiente publicada con detalle en un medio de comunicación.

Estos hechos supusieron, a juicio del organismo supervisor, una infracción del artículo 10 de la Ley de Protección de Datos, que obliga al responsable del fichero al secreto profesional respecto de los datos contenidos en ellos.

La Sala de lo Contencioso examina ahora si de los hechos probados se puede considerar que la recurrente es responsable de la publicación de los datos de los concejales a los que había entregado las tarjetas para el uso gratuito de los aparcamientos, vulnerando el deber de guardar secreto. En caso afirmativo, la Sala plantea si su actuación lo fue como Administración Pública, amparada en la Ley de Transparencia y Buen Gobierno y el ejercicio de la libertad de información.

En la primera de las cuestiones, la Sala señala que la responsabilidad de la sociedad municipal aparece acreditada pues es la titular de los ficheros en los que constaban los datos personales, ordenó la elaboración de los listados y combinó los resultados obtenidos de modo que determinó las fechas, horas y frecuencia del uso de los aparcamientos por parte de los titulares de las tarjetas, sólo concejales de la oposición.

La información con los listados se dio a conocer en el Consejo de Administración de la Sociedad se facilitó al Ayuntamiento, según la demanda, y al día siguiente lo publicó DIARIO de MALLORCA.

"Es cierto, -dice la Sala- que no consta una actuación del Consejo que decidiese hacer pública la información entregándosela a los medios de comunicación pero, como se razona en la resolución, la información con tal grado de detalle solo podía proceder de los listados asociados a los ficheros, cuya titularidad y custodia era responsabilidad de la sociedad municipal que estaba, por tanto, obligada al secreto impuesto por el artículo 10".

En este punto, la Sala añade que como reconoce la demandante, no existe una instrucción sobre el uso de tarjeas de aparcamiento, "de modo que los concejales no fueron informados, al proporcionar sus datos personales, del uso o cesión que podía hacerse de ellos, ni el hecho de ejercer un cargo público implica, sin más, una autorización o consentimiento ilimitado del titular de los datos al responsable del fichero, sea público o privado".

Respecto al derecho a la información alegado por la SMAP, la Audiencia señala que "no cabe hablar de un derecho a la información sino del cumplimiento de una obligación que, en este caso, se ha realizado de una forma y por unos cauces distintos a los previstos en la Ley sin respetar los límites establecidos en ésta, entre otros, como se acaba de exponer, los derivados de la protección de datos de carácter personal".

"Ya se ha expuesto que la sociedad demandante ha incumplido la forma en que la Ley 19/2013 contempla el cumplimiento de la obligación de transparencia; en caso de que la publicación se hubiese realizado correctamente, habría que ponderar si, en el marco del cumplimiento de la obligación de publicidad activa en los referente al presupuesto municipal, los datos personales de los concejales son adecuados para ese fin y están habilitados por la norma o por la principio de transparencia", indica la sentencia.

En este sentido, afirma que tal y como recoge la resolución impugnada, no existían condiciones para el uso de tarjetas, que los concejales no fueron informados del posible uso de sus datos, ni de su inclusión en los listados combinando los datos personales como DNI o matrículas, con la utilización detalladas de fecha u horas de estancia.

Por otra parte, añade el tribunal, es cierto que al tratarse de una sociedad municipal y ser concejales los titulares de los datos es más intenso el interés en acceder a la información, pero ello "no legitima la forma en que se llevó a cabo, fuera de cualquier cauce legal", si bien dichas circunstancias, junto con otras, han sido tenidas en cuenta para imponer la sanción correspondiente a infracciones leves.