Víctor Moralo Iza.
Attorney and Partner at ECIJA.
Área de Urbanismo y Medio Ambiente.
La controversia sobre las aplicaciones tecnológicas en la gestión de residuos y el tratamiento automatizado de datos personales.
En el mes de septiembre ha sido noticia el acuerdo de la Mancomunidad de la Comarca de Pamplona (MCP) por el que se modificaba el sistema de apertura electrónica de contenedores, dejándose de recoger los datos de aperturas de los contenedores de residuos -resto y materia orgánica- vinculados a domicilios. Este acuerdo ha venido provocado como consecuencia de las medidas correctoras ordenadas por la Agencia Española de Protección de Datos (AEPD), y a resultas de un procedimiento sancionador iniciado hace años y que se ha convertido en un precedente muy interesante, digno de un especial análisis jurídico por cuanto que resolverá muchas cuestiones relevantes a futuro en situaciones análogas, supuestos en los que nuevos sistemas de gestión de residuos, sus aplicaciones tecnológicas asociadas, lleven aparejado la recogida y tratamiento de datos personales.
Recordemos que la MCP puso en funcionamiento un proyecto piloto consistente en un nuevo sistema de recogida de basuras, que implicaba la necesidad de utilizar tarjetas nominativas por domicilio para poder usar los contenedores de orgánico y resto, en cumplimiento del Plan de Gestión Anual 2017. El proyecto piloto diseñó un sistema de contenedores de materia orgánica y resto que permitía la identificación de los usuarios y la medición de la cantidad de residuos depositada, con el objetivo de incrementar sustancialmente la separación en origen.
Entre las acciones puestas en marcha para conseguir el incremento de la separación en origen de la materia orgánica, se estableció un sistema de apertura de contenedores de materia orgánica cerrados, con apertura mediante tarjeta vinculada a los domicilios que permita la recogida de datos para analizar el impacto y seguimiento de su uso. Es decir, la llave de apertura del contenedor marrón se sustituía por una tarjeta magnética que abría el contenedor marrón y también el contenedor de resto, siendo así que cada hogar recibía dos tarjetas asociadas a una dirección de domicilio y que permitía registrar los datos de su utilización.
Ciertamente, el sistema de apertura de contenedores mediante tarjetas magnéticas vinculadas a la dirección postal de los domicilios permitía la identificación de los usuarios, la medición de la cantidad de residuos depositada y el seguimiento de uso de dichos contenedores a través de la actividad de uso de las tarjetas. He ahí el problema que se planteaba en estrictos términos jurídicos por cuanto que ello implicaba acceso y tratamiento de datos.
Pues bien, una vez terminada la prueba de este nuevo sistema, la MCP envió una carta a los afectados por el proyecto piloto en la que se notificaba que se enviaría información con los datos de apertura registrados en su domicilio. Al menos un mínimo de información se transmitía a los vecinos. Ahora bien, ni antes ni durante el funcionamiento del proyecto la Administración informó a los usuarios de que sus datos serían recogidos y registrados, ni el tratamiento y uso que se haría de los mismos, obviando así el derecho a la información de los usuarios, obviamente.
En el marco del proyecto-piloto citado, desarrollado por la MCP en dos zonas de la Comarca de Pamplona, se entregaron tarjetas con un número identificador en cada una de ellas y se enviaron a distintas direcciones postales sacadas de un registro público, con la finalidad de recoger en origen datos sobre el uso por parte de la ciudadanía de los nuevos contenedores de residuos de materia orgánica y del resto de contenedores instalados. Siendo esto así, que a través de las direcciones postales incluidas en las tarjetas resultaban identificables las personas físicas propietarias de los inmuebles. En este contexto, parece evidente que la actuación de la MCP constituía a todas luces un tratamiento de datos de personas físicas perfectamente identificables.
Meses más tarde de su implantación, la Agencia Española de Protección de Datos (AEPD) abrió un expediente a la MCP a raíz de una queja en la que se solicitaba la imposición de sanciones millonarias por la implantación de este nuevo sistema de apertura electrónica de contenedores. Se incoó el Procedimiento Nº: PS/00201/2019 de la AEPD, que finalizó sin sanción económica, aunque con la orden de cesar el tratamiento de datos de apertura de contenedores y su vinculación a los domicilios.
Según la AEPD resultó acreditado que, durante la puesta en marcha de la mencionada prueba piloto, la MCP no había facilitado a las personas afectadas por la misma la información relativa a los extremos señalados en el artículo 14 del RGPD, y que debería haberse proporcionado por cuanto que los datos personales no se habían obtenido de las mismas. Las direcciones postales tratadas en la prueba piloto procedían de las unidades catastrales del ámbito de la MCP que figuran en el Registro de la Riqueza Territorial de Navarra. De este modo, la MCP habría incumplido el deber de información exigible, no proporcionando en las comunicaciones dirigidas a los interesados, ni en las tarjetas repartidas a los mismos para la apertura de contenedores, la información relativa a los extremos señalados en el artículo 14 del RGPD. Deber que bien podría haber cumplido la MCP facilitando en los documentos la información básica señalada en los apartados 2 y 3 del artículo 11 de la LOPDGDD e indicando una dirección electrónica u otro medio que permitiese acceder de forma sencilla e inmediata al resto de la información.
En consecuencia, la MCP, en su condición de responsable del tratamiento de los datos personales utilizados en la prueba piloto, no habría mostrado la diligencia debida exigible de conformidad con la normativa vigente en materia de protección de datos, y habría vulnerado el derecho de los ciudadanos a ser informados de los aspectos que exige la legislación, máxime cuando los datos personales utilizados no habían sido obtenidos de los propios interesados.
Finalmente, la AEPD constató la existencia de la infracción del deber de informar previsto en el artículo 14 del RGPD por parte de la MCP durante el desarrollo del proyecto, manifestando que la MCP no está legitimada en estos momentos para recoger el número de veces que un domicilio abre o no la tapa de los contenedores para la fracción resto o para la materia orgánica.
Ahora bien, la AEPD en la propia resolución no descarta el tratamiento de datos personales por la Administración en la gestión de residuos y no cuestiona, en puridad, el sistema de recogida ni el proyecto piloto llevado a cabo. Lo que ordena a la MCP es que realice las actuaciones necesarias para el correcto tratamiento de los datos de carácter personal que están incluidos en las tarjetas magnéticas de apertura de contenedores, como responsable del tratamiento de datos que es, y que se adecue a las exigencias contempladas en la normativa de esta materia.
En definitiva, entendemos que este es un precedente administrativo que, sin duda alguna, será tenido en cuenta en la implantación de nuevos sistemas de gestión de residuos que utilicen aplicaciones tecnológicas que lleven implícito el tratamiento automatizado de datos personales. Mucho nos tememos que se darán nuevos casos igualmente espinosos, habida cuenta de los nuevos objetivos de gestión, los requisitos de trazabilidad, las nuevas obligaciones de información y la implantación de los nuevos regímenes de responsabilidad ampliada del productor que, en definitiva, fija la nueva legislación, la Ley 7/2022, de 8 de abril de residuos y suelos contaminados para una nueva economía circular. No tardaremos mucho en verlos.