La Agencia Española de Protección de Datos (AEPD) ha publicado una resolución en la que declara que el Ayuntamiento de Vigo vulneró el principio de confidencialidad al hacer visibles,en el exterior del sobre de una notificación, datos económicos relativos a una deuda administrativa de un ciudadano.
El 10 de enero de 2023, un ciudadano presentó una reclamación ante la AEPD, tras recibir dos notificaciones postales certificadas procedentes del Departamento de Recaudación del Ayuntamiento de Vigo.
En ambos sobres, además del nombre y apellido del destinatario, figuraban leyendas descriptivas del contenido, tales como: “Diligencia de embargo”, y “Notificación Providencia de apremio”, cada una acompañada de su número de referencia correspondiente.
Además, el reclamante destacó que las notificaciones anteriores siempre habían sido remitidas por vía telemática, sin recibir explicación sobre el cambio de sistema de notificación.
Por su parte, el Ayuntamiento informó de que había iniciado una revisión interna para verificar la adecuación de su procedimiento de notificación al principio de minimización de datos consagrado en el Reglamento General de Protección de Datos (RGPD). Defendió que las notificaciones se practicaron conforme a la normativa, sin apreciar infracción y que:
• la información del sobre únicamente facilitaba la identificación del destinatario;
• los envíos solo se entregaban al interesado o a su representante autorizado.
La AEPD, sin embargo, admitió a trámite la reclamación y el 20 de diciembre de 2024 inició un procedimiento sancionador por vulneración del art. 5.1.f) RGPD (principio de integridad y confidencialidad).
En su fase de alegaciones, el Ayuntamiento informó de que habría modificado los sobres,eliminando cualquier referencia al contenido de la notificación y sustituyéndola por la expresión genérica: “Notificación Administrativa”.
La AEPD concluye que el Ayuntamiento vulneró el principio de confidencialidad previsto en el art. 5.1.f) del RGPD. Entre sus argumentos señala que:
• Las leyendas impresas en los sobres permitían a terceros (incluido el personal del servicio de Correos) conocer que el destinatario tenía una deuda en vía ejecutiva. Asimismo, lapresencia del número de expediente facilitaba potencialmente el acceso al contenido de la notificación a terceros no autorizados.
• El Ayuntamiento, como responsable del tratamiento, debía haber aplicado medidas técnicas y organizativas para evitar accesos no autorizados a los datos personales, garantizando su integridad y confidencialidad.
Esta sanción ha sido publicada por la AEPD en el apartado de Criterios jurídicos de su página web, estableciendo así como norma que las entidades que envíen notificaciones postales deben asegurarse de que el exterior de los sobres no contenga información que permita deducir o acceder al contenido de la notificación.
Esta resolución afecta especialmente a administraciones públicas y organismos que manejan información sensible en procedimientos sancionadores, tributarios o de recaudación.