Cuando los mecanismos de apertura de un contenedor de basura vulneran la normativa de protección de datos

El sistema registraba la apertura del contenedor de materia orgánica y el de restos asociando esta información con cada domicilio para luego enviar a cada vecino un registro de las aperturas y kilos depositados; junto a este registro se añaden pautas de mejoras para el reciclaje si se detectaba un uso inadecuado de los contenedores.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de apercibimiento a la Mancomunidad de la Comarca de Pamplona al considerar que vulneró lo dispuesto en la normativa de protección de datos por no informar adecuadamente de la información recogida por los sistemas de aperturas de los contenedores de basura.

El asunto comienza el 4 de enero de 2019 cuando la AEPD recibe reclamación de una afectada en la que se expone que:

“Hace seis meses la Mancomunidad de Pamplona puso en funcionamiento un nuevo sistema de recogida de basuras que implica la necesidad de utilizar tarjetas nominativas por domicilio para poder usar los contenedores de orgánico y resto.
Ahora, a punto de terminar la prueba de este nuevo sistema, la Mancomunidad de Pamplona nos envía una carta en la que se nos notifica que en las próximas semanas se nos enviará “información con los datos de apertura registrados en su domicilio.
Evidentemente, la Mancomunidad de Pamplona no nos había informado a los usuarios de que se iban a recoger datos, de qué datos concretos son los recogidos, ni el tratamiento y uso que va a hacer de los mismos, obviando así el derecho a la información de los usuarios.”

Junto a esta reclamación, la afectada adjunta dos escritos dirigidos por el Presidente de la Mancomunidad a los vecinos en relación con la puesta en marcha de una prueba piloto para implantar un nuevo sistema de apertura con tarjeta para los contenedores de materia orgánica (marrón) y de resto (gris) a fin de mejorar los resultados obtenidos en la recogida selectiva de materia orgánica.

En el primero de estos escritos, el de mayo de 2018, se señalan como novedades del nuevo sistema: 

“La llave de apertura del contenedor marrón se sustituye por una tarjeta magnética;
– Esta tarjeta abrirá el contenedor marrón y, también desde ahora, el contenedor de resto.
– Cada hogar recibirá dos tarjetas asociadas a la dirección del domicilio que permitirán registrar los datos de su utilización.”

En el segundo escrito remitido en diciembre de 2018 el Presidente de la Mancomunidad informaba que 

“En las próximas semanas le enviaremos información con los datos de aperturas registrados en su domicilio o establecimiento, y con aquellos puntos de mejora en los que podrá avanzar en el caso de que no se realice un uso adecuado de los contenedores”.

En definitiva, en esta zona de la Mancomunidad de la Comarca de Pamplona se desplegó un sistema piloto, consistente en dotar a los contenedores de un sistema electrónico de apertura mediante tarjetas magnéticas nominativas vinculadas a cada domicilio. Gracias a este sistema no solo podían saber cuántas veces los residentes de un domicilio concreto han abierto un determinado contenedor de basura, sino incluso también la cantidad de residuos que dejan en cada contenedor.

Ante esta reclamación, la AEPD solicitó información tanto a la Mancomunidad como a la empresa que gestiona el servicio de residuos. Esta última indicó que la reclamación no está justificada porque no se produce ningún tratamiento de datos ya que las tarjetas están vinculadas a una dirección postal y no a una persona física concreta, motivo por el cual el tratamiento de datos realizado quedaría al margen de la normativa de protección de datos.

La AEPD no está de acuerdo con esta afirmación, y considera que sí se ha producido un tratamiento de datos personales. En efecto, el tenor literal de “dato personal” contemplado en el RGPD es:

“toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”

y el de tratamiento:

“cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;”.

Con base en estas definiciones, la AEPD considera acertadamente que constituye un tratamiento de datos de personas físicas identificables la inclusión de la dirección postal objeto de seguimiento de uso junto con un número identificador único en las tarjetas magnéticas entregadas a cada domicilio.

Llegados a este punto la AEPD estima que no se cumplió con el principio de transparencia, dado que los vecinos afectados por esta prueba piloto no recibieron la información contenida en el artículo 14 del RGPD (información que debe facilitarse a los interesados cuando los datos no han sido recabados de los mismos directamente), porque la información sobre las direcciones postales utilizadas para vincular cada tarjeta fueron obtenidas de unidades catastrales.

La Mancomunidad procede a publicar un PDF en su página web con la información exigida en el artículo 14; el texto es remitido a la AEPD para ver si está todo bien y ésta realiza algunas consideraciones sobre el texto propuesto. Así por ejemplo, la AEPD le indica a la Mancomunidad que debe corregir el párrafo donde se indica la posibilidad de acudir a la AEPD, ya que está redactado en estos términos:

“Si considera que los datos no han sido correctamente tratados, podrá ponerlo en nuestro conocimiento a través de la dirección de correo electrónico protecciondatos@mcp.es y posteriormente acudir ante la autoridad de control, o acudir directamente a la autoridad de control.”

La AEPD explica que la normativa no impone la obligación de pasar antes por el responsable del tratamiento para acudir ante la autoridad de control, es decir, que según el texto propuesto por la Mancomunidad, se establece como condición previa a acudir a la autoridad de control el dirigirse a la Mancomunidad. La AEPD le indica que retire esa condición pero a fecha de publicar este artículo no ha sido corregido.

La AEPD impone finalmente una sanción de apercibimiento a la Mancomunidad por una infracción del artículo 14 del RGPD, pero habría sido interesante que se valorara si este tratamiento de datos es proporcional para la finalidad perseguida. El texto que tuvo oportunidad de valorar la AEPD no contenía nada sobre las bases de legitimación y en la versión publicada actualmente en el portal de la Mancomunidad se alude a la base de legitimación de cumplimiento de una obligación legal o de interés público.

Personalmente me preocupa cómo estamos permitiendo que la tecnología nos defina; un sistema que detecta si abro o no lo suficiente el contenedor de basura y cuantos kilos de residuos deposito para valorar si soy un buen ciudadano que recicla, nos va acercando cada vez más a la esclavitud del algoritmo que vemos en otros países como China, y que normativas europeas actuales como el RGPD no parecen estar sirviendo para evitarlo.

Descargar resolución sancionadora.

¿Quieres recibir los artículos de este blog en tu email?

Suscríbete gratis

Servicio ofrecido por Mailchimp. Más información en la política de privacidad.

3 comentarios en “Cuando los mecanismos de apertura de un contenedor de basura vulneran la normativa de protección de datos”

  1. Hola:

    Yo creo que aquí más bien ha habido un defecto de forma a la hora de comunicar adecuadamente la información a los vecinos. A mi no me parece mal que se incentive con el reciclaje para fomentar de forma individual los buenos hábitos que al final de todo redundan en un bien común, siempre que el fin sea éste y no otro diferente. Si nos paramos a pensar ya te están controlando lo que comes, lo que compras, lo que consumes, donde has estado, etc… con el uso que diariamente de las tarjetas bancarias, el uso de nuestros teléfonos móviles, el consumo que hacemos de agua, luz y gas, etc, y no le damos importancia.

    Un saludo.

    Responder
    • No es cuestión de lo que te parezca.Es un derecho fundamental el que se protejan los datos personales.El que cualquier persona decida que esa información no quiere facilitarla, es su derecho fundamental, y no es cuestión de por mayoria no nos importa…En todos los ejemplos que mencionas, existe el derecho de oposicion y cancelacion, y se ejercitan.Esta muy por encima el derecho fundamental de las personas a las declaraciones que por mayoria no nos importa.

      Responder
  2. Cada vez salen a la luz más ineptos desempeñando cargos.
    ¿Se trata de batir récords?.
    ¡A ver los del Guinness!.
    ¡Aquí tenéis una mina!.
    Saludos…

    Responder

Deja un comentario