La Agencia Española de Protección de Datos en una resolución de 2 de agosto de 2023 apercibe el Ayuntamiento de Santiago de Compostela por exponer los datos personales en una notificación de la multa de tráfico que quedan a la vista una vez que se retira del documento el correspondiente acuse de recibo.
Tras quitar este acuse justificativo de la práctica de la notificación, y con el documento todavía cerrado y plegado, quedan a la vista una serie de datos personales, en particular, la fecha y hora de la denuncia, clase de vehículo, matrícula, marca y modelo del vehículo, nombre, apellidos, domicilio y D.N.I. del reclamante, los hechos denunciados y el importe de la sanción. Todos estos datos se encuentran en la parte externa de la carta, y quedan a la vista al retirar el agente notificador el justificante de entrega adherido a la misma.
La AEPD se basa para fijar la sanción en el artículo 32 del RGPD, y entiende que se ha cometido una irregularidad en el tratamiento de los datos, porque no se han adoptado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Se puntualiza que es el responsable del tratamiento quien debe poner los medios y medidas para que todo su personal conozca y cumpla las responsabilidades en el manejo de datos personales, teniendo acceso al contenido del documento solo el personal asignado, tanto en el tiempo de su despacho como tras el mismo.
En relación con la información contenida en los sobres de remisión de notificaciones, la Audiencia Nacional ya se ha pronunciado confirmando resoluciones de la AEPD en las que se imponen sanciones por infringir los principios de seguridad en el tratamiento de datos con la dirección de los destinatarios y la información añadida conteniendo términos tales "cobro morosos" o similares.
En el caso, la responsabilidad del Ayuntamiento viene determinada por la quiebra de seguridad, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, para asegurar que los datos no queden a la vista de cualquier persona que reciba el envío, y no hacerlo adecuadamente porque se ha demostrado que los datos personales quedan desprotegidos.