La política y el spam … una pareja explosiva.

Los antecedentes.

La AGPD ha dictado una resolución en noviembre de 2007 (E/00775/2007) que ya debe constar enmarcada y colgada de las paredes de los departamentos de comunicación de los partidos políticos, pues abre un vía directa de comunicación entre éstos y los ciudadanos al admitir el uso del correo electrónico sin la obligación de cumplir por parte de los partidos políticos (como el resto de los mortales), los exigentes requisitos legales para enviar una comunicación comercial por via electrónica.

Resulta que en junio de 2007 tiene entrada en la AGPD un escrito en el que se denuncia que una persona ha recibido en su dirección de correo electrónico un correo remitido por un partido politico promocionando su candidatura, sin que el denunciante hubiera solicitado información de sus actividades.

Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordena a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación oportunas para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos:

1.- Del correo electrónico y las cabeceras aportadas por el denunciante: Consta como texto del correo “…con independencia del sentido de su voto en las elecciones del próximo día 27, en las que me presento como candidato, me complazco en adjuntarle una breve presentación, a modo de síntesis, de nuestras propuestas culturales, así como el enlace a los contenidos del programa, por el interés que esta información puede tener para su actividad como persona …”.

2.- De la información obtenida del partido politico se pone de manifiesto que la dirección a la que se remitió el correo electrónico de referencia figuraba en una página web pública con otros datos como los de contacto del creador (domicilio, página web, correo electrónico, teléfono fijo y teléfono móvil), además del curriculum vítae y foto del creador.

En resumen, el dato figura –en opinión de la denunciada- en una fuente plenamente accesible al público y con el objeto de que a él se dirijan los correos electrónicos, llamadas telefónicas a fijo o a móvil o correos postales que deseen contactar con su titular (arts. 3 y 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) y además consta acreditado que los titulares de dicha dirección de correo electrónico nunca se han dirigido a la parte denunciada para oponerse a la recepción de comunicaciones electrónicas.

Finalmente la denunciada –el partido político- se queja de la reacción del destinatario que precisamente publicita la dirección de correo electrónico (además de su teléfono fijo, teléfono móvil y dirección postal) con el objeto de recibir información relacionada con, su actividad, tal y como se trataba de la información de referencia.

El regimen legal de las comunicaciones comerciales no solicitadas.

La LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información, y que se define en su anexo, apartado f:

1.- Es comunicación comercial toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

2.- A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

Los artículos 21 y 22 de la citada LSSI, establecen un exigente régimen jurídico:

“Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. 1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”.

La conclusión: no existe infracción.

A pesar de que, de acuerdo con el artículo citado en el caso de comunicaciones comerciales debe recaer autorización o solicitud previa, en el presente caso:

1.- El partido politico no realiza ninguna actividad comercial, industrial, artesanal o industrial.

2.- Por tanto la comunicación remitida al denunciante no constituye una comunicación comercial, ya que no se promociona ningún bien o servicio de una empresa.

3.- Por ello, el correo electrónico remitido al denunciante por el partido politico no entra en el ámbito de la LSSI y procede su archivo.

Una cuestion no resuelta en la resolución.

Queda claro que en un fichero del partido politico en cuestión, constaba la dirección de correo electronico del denunciante -que es utilizada para enviarle un comunicación-, dirección que es un dato de caracter personal y que se ha tratado por el partido político sin consentimiento.

Pero ¿de donde obtuvo el partido político ese dato de caracter personal?. La respuesta es de una página web y además como consta acreditado, sin consentimiento del afectado, por lo que desde mi punto de vista la AGPD debió sancionar al partido politico por el tratamiento inconsentido (art. 6 LOPD) de ese dato de carácter personal.

© Ramon Arnó Torrades, 2010, Lleida.

Un Alcalde felicita el cumpleaños de un ciudadano con los datos del padrón, pero ¿puede hacerlo?

Los hechos.

En la presente resolución (AP/00013/2008, R/00829/2008, julio de 2008) tres ciudadanos denuncian a su Ayuntamiento ya que el Alcalde les habia remitido una carta de felicitación por su cumpleaños, a pesar de no haber prestado su consentimiento para tal fin.

Asimismo también denuncian que el Ayuntamiento había incumplido la resolución R/00064/2006 del Director de la AGPD, en la que se le requería a que adoptara las medidas de orden interno que impidieran que en el futuro pudiera producirse una nueva infracción de la LOPD, en relación con el envío de felicitaciones de cumpleaños a los ciudadanos utilizando el Padrón de habitantes, lo que al final acontenció.

La AGPD investiga.

Tras la recepción de las denuncias, el Director de la AGPD ordena la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos:

a.- Entre abril y julio de 2006, el Ayuntamiento remitió a los denunciantes una carta en la que se recogen los siguientes datos de carácter personal: “nombre y dos apellidos, calle, número, piso y letra, localidad”.

El contenido de la carta es el siguiente:

“Nombre del denunciante manuscrito. Hace ahora tres años, en nombre de la corporación me complacía hacerte llegar mi más sincera felicitación en el día de tu cumpleaños. Transcurrido este tiempo, me congratulo de poder continuar haciéndolo. Deseando que pases el mejor de los días en compañía de los tuyos, recibe mi más sincero saludo. Tu alcalde. Firmado”.

b.- Al solicitar información al Ayuntamiento por parte de la AGPD,            éste manifestó que el origen de los datos de los destinatarios de los escritos de felicitación de cumpleaños es el Padrón Municipal de Habitantes y que el motivo que justifica el envío es que “por parte de esta Alcaldía se ha establecido el servicio protocolario de felicitación de cumpleaños de todo el vecindario … No obstante, aquellos ciudadanos que no han estado conformes con esta iniciativa y así lo han manifestado, han sido excluidos del citado servicio protocolario”.

El Ayuntamiento alega que por iniciativa de la Alcaldía se viene felicitando personalmente a los vecinos en su aniversario mediante una carta que le llega a su domicilio, iniciativa que está siendo bien acogida por los vecinos –aunque a la vista de las denuncias, no todos comparten la opinión del Alcalde- y que se cumplimenta a todos los vecinos del municipio que no han manifestado expresamente su deseo de no recibir la citada felicitación. Los denunciantes D. X.X.X., Dª Y.Y.Y., D. Z.Z.Z. y Dª V.V.V., no han presentado escrito alguno manifestando su deseo de no recibir en su domicilio, felicitación por su cumpleaños.

El Ayuntamiento ya habia sido denunciado otra vez.

En la resolución R/00064/2006, AAPP/00007/2005, el Director de AGPD ya habia requerido al mismo Ayuntamiento a “que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 6 de la LOPD en relación con el envío de felicitaciones de cumpleaños a los ciudadanos utilizando el Padrón de habitantes”.

El Ayuntamiento contestó a dicho requerimiento informando que entre las medidas adoptadas se había determinado las siguientes:

1.- Establecer un campo de control en la Base de Datos del Padrón Municipal de Habitantes, para la indicación de la negativa por parte del interesado del uso de sus datos para el fin correspondiente a la iniciativa de la felicitación de aniversario.

2.- Establecer filtros de control sobre todos los procesos externos con acceso al Padrón Municipal de Habitantes, para impedir que datos no autorizados sean utilizados para otros fines.

El Ayuntamiento se queja alegando indefensión dado que la AGPD no formuló discrepancia alguna sobre dichas medidas, por lo que el Ayuntamiento interpretó que las medidas adoptadas eran las correctas, es decir que únicamente no se remitiría el escrito de felicitación del cumpleaños a aquellos ciudadanos que previamente hubiesen manifestado su negativa.

El principio de calidad.

La LOPD regula en su artículo 4 el principio de calidad de datos y en su apartado 2 dispone:

“Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos”.

Las finalidades a las que alude el art. 4.2 han de conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley, ya que conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

En consecuencia –continúa diciendo la AGPD-, si el tratamiento del dato ha de ser pertinente al fin perseguido y la finalidad ha de estar determinada, difícilmente se puede encontrar un uso del dato para una finalidad distinta sin incurrir en la prohibición del artículo 4.2 aunque emplee el término incompatible.

En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado.

Las finalidades del padrón.

En cuanto a las finalidades del Padrón de Habitantes, cabe señalar que en el artículo 16.1 de la Ley 7/85, de 2 de abril, reguladora de las Bases del Régimen Local el Padrón se concibe como:

1.- Un registro administrativo donde constan los vecinos de un municipio.

2.- Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo.

3.- Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos.

4.- Los datos que se inscriben en el Padrón municipal son los siguientes:

a) Nombre y apellidos.

b) Sexo.

c) Domicilio habitual.

d) Nacionalidad.

e) Lugar y fecha de nacimiento.

f) Número de documento nacional de identidad o tratándose de extranjeros, del documento que lo sustituya.

g) Certificado o título escolar o académico que se posea.

h) Cuantos otros datos puedan ser necesarios para la elaboración del Censo Electoral siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución.

La infracción cometida por el Ayuntamiento.

En el supuesto examinado el Ayuntamiento utilizó los datos de los denunciantes y de los habitantes contenidos en el Padrón Municipal de Habitantes para remitir felicitaciones de cumpleaños, por lo que ha conculcado el artículo 6 y 4.2 de la LOPD, pues utilizó el Padrón de Habitantes para una finalidad distinta e incompatible con el fin para el que fue constituido, con independencia de que trató datos personales sin que existiera habilitación legal para ello.

Además, el Ayuntamiento incumplió una resolución anterior del Director de la Agencia que le obligaba a tomar medidas que impidieran la utilización del Padrón de Habitantes para fines distintos. En este sentido, hay que señalar que no resultan válidas las medidas adoptadas a raíz de la resolución R/00064/2006, ya que no resulta procedente que el ciudadano tenga que dirigirse al Ayuntamiento para ejercer el derecho de oposición al respecto, sino que el Ayuntamiento debe adoptar medidas para que no se pueda usar el Padrón Municipal con este fin.

El Ayuntamiento alega buena fe y la AGPD aprecia falta de diligencia.

El Ayuntamiento explica que ha utilizado los datos del Padrón Municipal de Habitantes de buena fe y en la creencia de que se trataba de una actuación legítima por lo que, que, en ningún momento, ha habido intención alguna de infringir la LOPD.

Ante ello la AGPD afirma que el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible.

En este sentido se pronuncia también la Audiencia Nacional en Sentencia de 29/06/2005 en la que rechaza el argumento de la demandante consistente en que se produjo un error informático declarando que “Ante un error de esa envergadura y tan visible no cabe sino concluir que la indebida aparición –en la mayoría de las facturas de datos correspondientes a personas ajenas a cada una de esas facturas pudo haberse evitado si la empresa hubiese habilitado algún mecanismo de control previo a la remisión de aquéllas a sus destinatarios. Y no nos referimos a un sistema complejo y sofisticado de comprobación pues el error en la facturación era tan visible y generalizado que el control más liviano habría bastado para detectarlo. La demandante afirma haber realizado en su día las oportunas pruebas de validación del programa informático; y no cuestionamos aquí la veracidad de tales alegaciones. Pero nada nos dice la demandante respecto a la realización de controles o muestreos que podían y debían haberse realizado sobre facturas ya emitidas e impresas y que habrían permitido detectar la indebida aparición en ellas de datos correspondientes a personas ajenas a la realización contractual a que se refiere la factura”.

Conforme a esta doctrina jurisprudencial, es evidente la existencia, en este caso de, al menos, una falta de diligencia plenamente imputable al Ayuntamiento por haber tratado los datos personales de los denunciantes para una finalidad distinta a la prevista legalmente y para la que se estima debe destinarse el Padrón Municipal de Habitantes.

A mayor abundamiento, hay que señalar que el Ayuntamiento ha incumplido la resolución R/00064/2006 del Director de la Agencia Española de Protección de Datos, en la que se requería a “que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en relación con el envío de felicitaciones de cumpleaños a los ciudadanos de Valdepeñas utilizando el Padrón de habitantes”.

Al final, se declara la existencia de infracción.

El artículo 44.3.d) de la LOPD considera infracción grave: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.”

En este caso, la conducta del Ayuntamiento vulnera el citado principio, toda vez que ha quedado acreditado en el presente procedimiento que el Ayuntamiento trató los datos del denunciante sin su consentimiento, conducta que encuentra su tipificación en el artículo 44.3.d) de la LOPD.

© Ramon Arnó Torrades, 2010, Lleida.

Concursos públicos, Ley de Contratos de las Administraciones Públicas y cesión de datos personales.

Introducción.

Otra vez hacemos referencia a una denuncia por cesión inconsentida de datos de carácter personal desde una empresa hacia una Administración Publica en el marco de un concurso público (PS/00180/2008, R/01402/2008), similar a la analizamos hace unos días en la entrada “Cesión de currículum vitae de empresa de seguridad a Universidad (E/00998/2009)”.

Los argumentos de la denunciante.

La denunciante es una asociación de traductores e interpretes que actúa contra una empresa del sector ya que ésta ha comunicado datos personales de traductores e interpretes al Departamento de Interior de la Generalitat de Catalunya (para la participación en un concurso público) sin consentimiento de los afectados. Los traductores e interpretes en algún momento prestaron servicios a la denunciada, aportándose escritos de 4 personas que exponen que no han dado su conformidad para la comunicación de sus datos personales a la Administración Pública.

Las explicaciones de la denunciada.

En el año 2006 la empresa denunciada presentó en el Servicio de Contratacions i Patrimoni del Departamento de Interior, Relacions Institucionals i Participació de la Generalitat de Catalunya la documentación necesaria para la participación en un concurso público convocado por este Organismo. Entre la documentación aportada había una relación del personal en soporte informático (CD-ROM), cuyo acceso estaba limitado toda vez que obligaba a la introducción de una contraseña. El CD-ROM contenía 1985 registros con los siguientes datos:

-          Nombre y apellidos,

-          DNI/NIE,

-          Teléfono,

-          Personal propio o subcontratado,

-          Tipo de cualificación,

-          Diversidad idiomática.

La denunciada explica que esas personas que ahora manifiestan que no habían dado su consentimiento para la cesión de datos, habían mantenido una relación profesional con su compañía y para acreditarlo aporta copia de los certificados resumen de la declaración anual del 190 (detalle de perceptores de los años 2000, 2001, 2002 y 2003 de la agencia tributaria) donde figuran ambas afectadas, así como el currículum de las mismas.

También expone que la finalidad principal de la compañía consiste en la prestación de servicios de traducción e interpretación, para lo cual dispone de empleados propios y colaboradores externos que han proporcionado sus datos con el conocimiento del tipo de servicios que se oferta y que en este caso, el tratamiento implica la comunicación de sus datos al Departamento de Interior de la Generalitat de Catalunya para poder participar en los concursos.

En referencia a la LOPD, la denunciada explica que el fichero al que se incorporan esos datos está inscrito en el Registro General de Protección de Datos (figurando la comunicación de datos a la Generalitat de Catalunya) y que en la página Web de la empresa figura un apartado relativo a Protección de Datos. Además al implementar la política de protección de datos, se envía un escrito a todos los usuarios inscritos en la base de datos anteriormente mencionada informando de la citada política.

Explica también que el concurso correspondía a la adjudicación del servicio de interpretación y traducción de lenguas en las unidades centrales y territoriales del cuerpo de Mossos d’Esquadra, en cuyo anexo 3, donde figuran los criterios de valoración, en su apartado 2 “Adscripción de medios personales a la ejecución del servicio” consta textualmente:

“Para obtener puntuación en este apartado será requisito indispensable presentar los datos relativos a dotación, calificación y diversidad idiomática del personal traductor e interprete …”.

La denunciada concluye diciendo que no se ha producido la infracción imputada ya que la empresa mantenía una relación laboral/mercantil con las denunciantes pues realizaban trabajos para la empresa, por lo que el tratamiento de sus datos estaba autorizado al amparo de lo previsto en el artículo 6.2 de la LOPD, y además para el desarrollo de esa relación laboral/mercantil era necesaria la comunicación de sus datos al Departamento de Interior de la Generalitat de Catalunya, ya que para poder licitar en el concurso público establecido para otorgar el servicio de traductor e intérprete, es condición sine qua non el acreditar los recursos con los que se cuenta para ofrecer esos servicios. Finalmente se alega que las denunciantes no han pedido en ningún momento la cancelación de sus datos.

La excepción al consentimiento para la cesión de datos: el art. 11.2.c)

La comunicación de datos personales de los traductores desde la empresa a la Generalitat sin consentimiento de ellos estaría habilitada por el artículo 11.2.c) de la LOPD, por cuanto esa comunicación a terceros era necesaria para el desarrollo de esa relación negocial y se limitaba a dar cumplimiento al encargo recibido de proporcionarles trabajos de traducción/interpretación.

La clave: la ley de contratos de las Administraciones Públicas.

Aparte de la excepción del art. 11.2.c), el texto refundido de la Ley de contratos de las Administraciones Públicas (RDL 2/2000, de 16 de junio), es otras de las claves que justifican la legalidad de la actuación de la empresa denunciada, toda vez que el artículo 19 prevé lo siguiente:

“Artículo 19. Solvencia técnica o profesional en los restantes contratos.

En los demás contratos regulados por esta Ley la solvencia técnica o profesional de los empresarios deberá apreciarse teniendo en cuenta sus conocimientos técnicos, eficacia, experiencia y fiabilidad, lo que podrá acreditarse, según el objeto del contrato, por uno o varios de los medios siguientes:

a) Las titulaciones académicas y profesionales de los empresarios y del personal de dirección de la empresa y, en particular, del personal responsable de la ejecución del contrato.

b) Una relación de los principales servicios o trabajos realizados en los últimos tres años que incluya importe, fechas y beneficiarios públicos o privados de los mismos.

c) Una descripción del equipo técnico y unidades técnicas participantes en el contrato, estén o no integrados directamente en la empresa del contratista, especialmente de los responsables del control de calidad.

d) Una declaración que indique el promedio anual de personal, con mención, en su caso, del grado de estabilidad en el empleo y la plantilla del personal directivo durante los últimos tres años.

e) Una declaración del material, instalaciones y equipo técnico de que disponga el empresario para la realización del contrato.

f) Una declaración de las medidas adoptadas por los empresarios para controlar la calidad, así como de los medios de estudio y de investigación de que dispongan.

g) Cuando se trate de servicios o trabajos complejos o cuando, excepcionalmente, deban responder a un fin especial, un control efectuado por el órgano de contratación o en nombre de éste por un organismo oficial u homologado competente del Estado en que esté establecido el empresario, con el acuerdo de dicho organismo sobre la capacidad técnica del empresario y, si fuese necesario, sobre los medios de estudio y de investigación de que disponga y sobre las medidas de control de la calidad”.

Finalmente se archiva la denuncia ya que no existe infracción.

La AGPD archiva las actuaciones al considerar que no se ha producido infracción alguna a la normativa de protección de datos, ya que ha quedado acreditado que los denunciantes mantenían o habían mantenido una relación laboral/mercantil con la denunciante y que además ninguno de ellos habían solicitado la cancelación de sus datos personales. 

© Ramon Arnó Torrades, 2010, Lleida.

Ayuntamiento que envía correo electrónico a la denunciante con las direcciones electrónicas de otras personas que habían solicitado un mismo puesto de trabajo.

Antecedentes.

La denunciante en este proceso (AAPP/00029/2007, R/01317/2007) manifiesta que en junio de 2006 procedió al envío (vía email) de su currículum vitae a un  Ayuntamiento con la finalidad de solicitar un puesto de trabajo.

Al cabo de un mes recibió la contestación mediante correo electrónico, comprobando que en la cabecera del mismo aparecían todas las direcciones de e-mail de las personas que al parecer, habían procedido a la solicitud del citado puesto de trabajo.

Tras la denuncia, el Ayuntamiento reconoce los hechos y manifiesta que las cabeceras de dichos correos corresponden a los diferentes candidatos que presentaron el currículo para una plaza de trabajador social y que se les contestó de forma individual, por lo que en ningún momento se pensó que los diferentes correos remitidos iban a ir sumando todas las direcciones a las que se enviaron. Expone además que desde el Servicio Social en ningún momento se envió de forma intencionada las direcciones y que dicha remisión ha sido fruto de un error. Finalmente el Ayuntamiento dice que se puede apreciar que el contenido de dicho correo no contiene datos personales (nombres, direcciones, datos curriculares), ya que son datos de carácter electrónico que en muchos de los casos no identifican a la persona de forma personal, solicitando que se proceda a la archivo de las actuaciones.

El deber de secreto y la cesión de datos

La AGPD hace referencia a las dos infracciones que en principio, se pueden haber cometido por el Ayuntamiento con su actuación:

a.- infracción de la obligación de secreto profesional que incumbe al responsable del fichero y a todos aquellos que intervengan en cualquier fase del tratamiento (art. 10 LOPD).

b.- infracción del régimen jurídico de la cesión de datos personales (art. 11.1 de la LOPD) que exige con carácter general, el consentimiento del afectado para la cesión de sus datos, salvo en los supuestos del apartado 2 del artículo 11 (excepciones).

¿Que supone el deber de secreto?

El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Para ilustrar sobre ese deber, la AGPD cita dos sentencias:

1.- STSJ de Madrid de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

2.- SAN de 14/09/2001 (fd2): “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida”.

¿La dirección de correo electrónico es un dato personal?

Una cuestión que discute el Ayuntamiento es que la dirección de correo electrónico sea un dato de carácter personal.

Sobre tal cuestión –dice la AGPD- se ha pronunciando el Abogado del Estado, Jefe del Gabinete Jurídico, en su escrito nº 508/2003 de fecha 5/02/2004 al recoger que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en si misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.

De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:

a.- El primero de ellos se refiere a aquellos supuestos en que voluntaria o

involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a juicio de la AGPD, no existe duda de que la dirección de correo identifica, incluso de forma directa al titular de la cuenta, por lo que, en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del estado en

que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso delimitarse el centro de trabajo en que se realiza la prestación).

2.- Un segundo supuesto seria aquél en que, en principio, la dirección de correo no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación.

3.- Junto con estos dos supuestos, debe añadirse que si en un fichero junto con la dirección de aparecieran otros datos que permitieran la identificación del sujeto (tales como su nombre y apellidos, su número de teléfono o su domicilio, conjunta o separadamente), la identificación seria absoluta y no se plantearía duda de que nos encontramos ante un supuesto de cesión de datos de carácter personal.

A la vista de lo que se ha indicado, cabe concluir una dirección de correo electrónico es un dato de carácter personal y que el tratamiento de los datos relacionados con dicha dirección de correo requerirá el consentimiento del afectado, por lo que no será posible utilizar la dirección de correo electrónico si la interesada no ha dado su consentimiento para que esos datos sean cedidos a terceras personas.

Finalmente, vulneración del deber de secreto.

Habida cuenta de lo expuesto, el correo electrónico del Ayuntamiento incluye direcciones electrónicas correspondientes a personas físicas -que son datos de carácter personal-, por lo que la cesión a terceros ajenos supone una vulneración del deber de secreto.

Por tanto el Ayuntamiento ha infringido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como leve en el artículo 44.2.e) de la citada norma, al remitir a la denunciante un correo electrónico con direcciones electrónicas de terceros.

© Ramon Arnó Torrades, 2010, Lleida.

Robo de memoria usb de un hospital público que contiene datos personales de trabajadores.

El diario Heraldo de Aragón publica la siguiente noticia “Roban datos de trabajadores del Provincial”, información que un particular pone en conocimiento de la AGPD, la que inicia las investigaciones que finalizan con la declaración de dos infracciones graves (falta de seguridad y falta de creación del fichero) como se expone en la AP/00018/2010, R/01436/2010 de 2-07-2010.

Durante la visita de la inspección de la AGPDA realizada al Hospital, se constata que entre los objetos sustraídos, figura un dispositivo de almacenamiento usb de 1gb capacidad, color blanco y marca que se desconoce, conteniendo en su interior un fichero con los datos personales y de la nómina del citado hospital, lápiz de memoria que fue proporcionado por el servicio de informática al servicio de personal del hospital.

¿Que contenia el usb robado?.

En el momento del robo, la información contenida en el mencionado soporte consistía en diversos datos de carácter personal:

1.- un fichero con la nómina del personal, cuyo destino era la entidad bancaria que realiza los pagos de dicha nómina, con el nombre, los apellidos, el código de cuenta corriente y el salario. El motivo de que se llevase dicho soporte al banco es que anteriormente dicha transferencia de información se realizaba en disquetes, que frecuentemente resultaban dañados en los arcos de seguridad de la sucursal bancaria. Aclaran igualmente que el código de cuenta corriente figuraba codificado.

2.- un fichero de trienios, conteniendo la información acerca de las personas que tenían un trienio recientemente reconocido y que había que comenzar a pagar. El contenido concreto del fichero era el nombre, la categoría profesional, la fecha del trienio y el importe.

3.- un fichero de costes, utilizado para la realización de estudios de costes, conteniendo: nombre, gfh (grupo funcional homologado) y coste asociado.

El servicio de informática dispone del software TrueCrypt para el cifrado de soportes, a disposición de aquellos usuarios que lo soliciten. Actualmente se utiliza únicamente en el Servicio de Informática.

El hospital toma medidas de seguridad … pero despues del robo.

Durante la visita de inspección los representantes del mismo informan ademas de las medidas adoptadas a raíz del robo:

a.- Instalación de un sistema de alarma y videovigilancia.

b.- Transmisión telemática de los datos de nóminas a la entidad bancaria.

c.- Deshabilitación de los puertos USB en todos los equipos excepto en aquellos en que se solicite habilitación, de forma expresa.

Exponen los representantes del Hospital que el documento de seguridad se encuentra en desarrollo y que tampoco disponen del registro de incidencias ni del registro de soportes.

¿Y el documento de seguridad? … en fase de creación.

En el Acta de inspección consta que el documento de seguridad está en elaboración, y que no tienen registro de soportes ni registro de incidencias, aunque si dos documentos estableciendo las funciones del personal que trabaja con ficheros que contienen datos de carácter personal:

a.- Funciones y obligaciones específicas de cada usuario.

b.- Obligaciones de los usuarios de  ficheros con datos de carácter personal.

El primero de ellos debe ser firmado por los nuevos usuarios del sistema de información del Hospital, a quienes se les entrega en el mismo acto una copia del segundo documento.

Los representantes del Hospital aportan copias de los documentos mencionados.

Las comprobaciones de los inspectores de la AGPD.

Los inspectores de la Agencia realizaron las siguientes comprobaciones:

a. Se accedió al ordenador del Jefe de Servicio, donde tras insertar un lápiz de memoria en un puerto USB se verificó que el sistema requiere permisos de administrador para la instalación del mismo.

b. Se accedió a los ordenadores de los dos jefes de sección con que cuenta el Servicio, verificando que en uno de ellos el sistema operativo requiere la instalación de un software que precisa de privilegios de administrador, mientras que el segundo tiene habilitado el acceso, manifestando su usuaria que dicha habilitación se solicitó al tener que trasladar copia de la información de un concurso a un ordenador portátil para ser usado en la Mesa de Valoración.

c. Se accedió a tres ordenadores seleccionados al azar entre el resto de los equipos del Servicio, comprobando que en dos de ellos está habilitado el uso de dispositivos de memoria extraíbles, mientras que en el tercero de ellos no lo está. (Folios 24 y 25).

El deber de seguridad, segun la LOPD.

En referencia al deber de seguridad la LOPD –art. 9- impone al responsable del fichero la adopción de medidas de seguridad que eviten accesos no autorizados, por lo que el mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.

¿Y que dice la normativa especifica en materia de seguridad?

En referencia a las infracciones objeto de análisis, el Real Decreto 1720/2007 establece lo siguiente:

Artículo 90. Registro de incidencias.

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Artículo 92. Gestión de soportes y documentos.

1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitarla sustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas”.

Al final, dos infracciones graves.

Se constata la infracción de dos obligaciones:

a.- la primera la de dictar la preceptiva disposición de creación del fichero o de los ficheros del Hospital, lo que supone una vulneración del artículo 20 de la LOPD.

b.- la segunda (art. 9 LOPD) la de mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (el RD 1720/2007).

© Ramon Arnó Torrades, 2010, Lleida.

Pero ¿realmente nos leemos todo lo que firmamos?.

En una resolución de la AGPD de julio de 2010 (E/03961/2009) se explica una caso curioso pero habitual, que pone de manifiesto que a veces firmamos documentos sin leer su contenido y despues aún nos quejamos.

Resulta que una persona denuncia a un supermercado ya que en su momento esa persona rellenó un formulario para solicitar una tarjeta de puntos. Cual fue la sorpresa de la denunciante cuando al cabo de unos días recibe una carta con un seguro gratuito con cobertura durante 1 año por valor de 3.000 € por “fallecimiento accidental por circulación”, tras lo que, imaginamos que indignada, esa persona presenta una denuncia ante la AGPD ya que posiblemente debió pensar ¿quien es el supermercado para enviarme un seguro sin mi consentimiento?.

Durante la investigación de los hechos, el supermercado aporta un formulario con su datos personales (nombre, apellidos, nacionalidad, lugar y fecha de nacimiento, NIF, tel. móvil, dirección postal y actividad profesional), documento en el que consta una encuesta realizada por el supermercado y lo que es más importante, firmado por la propia denunciante !. No solo eso, sino que en el mismo formulario constaba el siguiente texto: “COBERTURA GRATUITA. Sí, acepto el regalo de cobertura gratuita durante 1 año por valor de 3.000 € por fallecimiento accidental por circulación”, con la habitual cláusula de protección de datos personales en la que se le informaba del tratamiento.

La AGPD archiva el expediente explicando que la actuación del supermercado fue adecuada a la ley (Lopd, ley 15/1999), ya que el formulario en el que consta la encuesta (que incluye el regalo del seguro gratuito) aparece firmado por la denunciante, aceptando por tanto el tratamiento de sus datos personales para esa finalidad (remisión de un seguro gratuito), por lo que constando el consentimiento (artículo 6.1 de la LOPD) la AGPD da carpetazo al proceso sin sanción alguna para el supermercado.

La solución por la que quizás hubiera debido de optar la denunciante antes de iniciar un proceso por infracción, hubiese sido la de o solicitar un derecho de acceso o bien revocar el consentimiento para ese tratamiento concreto.

© Ramon Arnó Torrades, 2010, Lleida.

Inclusión de curriculum vitae entre la documentación presentada a un concurso público, de una persona que nunca habia trabajado en la empresa.

En esta resolución de la AGPD (PS/00046/2007, R/00998/2007) se analiza el caso de una persona (la denunciante) que envía su curriculum vitae por correo electronico a una empresa y más tarde ésta incluye sus datos personales (asi como el currículum) en una relación nominal de personal que aporta para presentarse a un concurso público, todo ello sin consentimiento de la denunciante.

La afectada acredita que nunca habia trabajado para esa empresa (de hecho aporta un informe de vida laboral) y que tampoco consintió en que se llevara a cabo ese tratamiento ni la cesión de sus datos personales.

La empresa por su parte se defiende manifestando lo siguiente:

a.- La denunciante autorizó de forma expresa y verbal el tratamiento por parte de la empresa y la cesion de sus datos personales.

b.- Además existía entre ambos una relación precontractual con objeto de incorporar a la afectada a la plantilla de la empresa, lo que finalmente no se produjo.

La AGPD explica en su resolución que no se ha acreditado la existencia de relación laboral con la denunciante, ni la existencia de precontrato entre ambas partes, así como cualquier otro tipo de prestación de servicios efectuada, ni por tanto consentimiento para la cesión de datos personales, con lo la AGPD impone dos sanciones a la empresa:

a.-  La primera por falta de consentimiento, lo que supone una multa de 60.101,21 € (infracción del artículo 6.1 en relacion con el artículo 44.3.d).

b.- La segunda por cesion inconsentida, con una sanción de 300.506,05 € (infracción del artículo 11.1 en relacion con el artículo 44.4.b).

© Ramon Arnó Torrades, 2010, Lleida.

El acceso en via civil a los datos del usuario de una dirección IP … A veces si, a veces no …

“A veces si, a veces no”, cantaba Julio Iglesias hace unos años. Más recientemente Jarabe de Palo escribió en una canción que “ … Depende, de qué depende, de según como se mire todo depende …”.

Un auto y una sentencia del 2010 dictados en menos de un mes por dos audiencias provinciales (la de Madrid y la de Guadalajara) en asuntos en que el acceso a los datos de identificación del titular de una IP era necesarios para el éxito de la pretensión, ponen de manifiesto una vez más el confuso régimen jurídico que regula el acceso a los datos de un abonado a una IP, cuando la petición se lleva a cabo ante un Juzgado civil.

La Sentencia de la AP de Guadalajara (Sección 1ª), de 17-03-2010, ponente Sra. Isabel Serrano Frías.

En la sentencia de marzo de 2010 se juzga la intromisión ilegitima en el derecho al honor de una persona. Se explica que la demanda es desestimada en primera instancia -fallo que se confirma en segunda-, ya que pese a que se reconocen que las expresiones vertidas constituyen una intromisión ilegitima en el honor y en la intimidad del actor, no queda determinado que el demandado sea la persona que envió dicho mensaje, por lo que se le absuelve.

Al explicar la Sala los hechos objeto del proceso, expone que en una página web se abrió un foro donde se efectúa un comentario que es enviado por alguien que se hace llamar “Santiago”, el 24 de enero de 2007, a las 11,31 horas.

Y ahora viene lo más curioso juridicamente hablando:

“ … La IP y el e-mail desde el que se realizó el envío eran gestionados por Telefónica España que facilito los datos sobre titularidad del IP y el e-mail correspondiendo el primero a una sociedad limitada y el segundo, el e-mail al demandado …”.

Cabe decir que en la sentencia queda claro que el Ministerio Fiscal era parte en el proceso (por lo previsto en la ley 1/1982, de 5 de mayo) y que no hubo ninguna denuncia o querella previa (lo digo porque los datos de titularidad de la IP no fueron obtenidos en otro proceso anterior y aportados despues a éste), por lo que parece claro que en via civil –al menos asi se deduce de la sentencia-, el actor solicitó ante el Juzgado –y obtuvo sin problemas- los datos sobre la titularidad de la IP desde la que se llevaron a cabo los comentarios, estando vigente la ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

El auto de 12 de abril de 2010 de la AP de Madrid (Sección 28ª), Ponente D. José Zarzuelo Descalzo.

En este auto la respuesta es la contraria a la sentencia ya que se desestima el recurso de apelación interpuesto contra el auto dictado en una Diligencias Preliminares seguidas ante el Juzgado de lo Mercantil nº 9 de Madrid.

Los antecedentes de un caso de propiedad intelectual.

Los hechos resumidamente son los siguientes:

a.- La entidad “HUSTLER EUROPE G.M.B.H.” promovió Diligencias Preliminares contra las mercantiles “TELEFÓNICA DE ESPAÑA, S.A.U.” (TELEFÓNICA) y “JAZZ TELECOM, S.A.U.”, con el objeto de que se requiriera a las citadas entidades para que conservaran determinados datos y desvelasen la identidad de los usuarios a los que prestan servicio de acceso a Internet, de los que se conoce su IP y la fecha y hora de conexión, que utilizando un programa de intercambio de archivos (peer to peer -P2P-), denominado eDonkey2000, ofrecen en su carpeta compartida archivos que contienen obras cinematográficas cuya explotación en España corresponde en exclusiva a la peticionaria, de modo que aquéllos, primero reproducen en sus ordenadores las películas y, luego, las ofrecen a cualquiera que esté conectado a una red P2P, con infracción de los derechos de propiedad intelectual.

2.- La instante ante la constatación de que determinados usuarios del programa de intercambio de archivos eDonkey2000 estaban cometiendo actos que vulneraban los derechos de reproducción y comunicación al público sobre las obras cinematográficas cuyos derechos ostenta, pretende que los prestadores de servicio de Internet antes reseñados, le faciliten su identidad, a partir de la IP, día y hora de conexión, conocida por la solicitante, para promover el posterior juicio ejercitando las correspondientes acciones contra los infractores.

3.- La resolución recurrida deniega la práctica de las diligencias preliminares al no cumplirse la premisa exigida legalmente -art. 256.1.7º de la LEC – de que los actos de infracción se realicen a escala comercial, al manifestarse en la propia solicitud que las IP se corresponderían con personas que habrían procedido a reproducciones no autorizadas de obras protegidas para un uso personal y no para su cesión a terceros a cambio de un beneficio, y al entender que la cesión de datos requerida sólo puede tener lugar con fines de detección, investigación y enjuiciamiento de delitos graves, en aplicación del artículo 1 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, por la que se transpone la Directiva 2006/24/ CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/ CE, del Parlamento Europeo y del Consejo, de 12 de julio, interpretación que es conforme al derecho comunitario en atención a la sentencia del Tribunal de Justicia de las Comunidades Europeas de 29 de enero de 2008, y en coherencia con lo que disponía en su artículo 12.3 la Ley 34/2002 de Servicios de la sociedad de la información y comercio electrónico.

4.- Contra la citada resolución se alza la entidad “HUSTLER EUROPE G.M.B.H.” que insiste en la procedencia de la práctica de las diligencias solicitadas con amparo en el artículo 256.1.7º de la Ley de Enjuiciamiento Civil y en los artículos 18 y concordantes del TRLPI, vulnerando la denegación su derecho a la tutela judicial efectiva y su derecho a la obtención de la prueba útil, necesaria y pertinente de la existencia de infracciones civiles de derechos de autor.

La sala desgrana sus argumentos.

Idéntica pretensión a la suscitada en el marco del presente recurso de apelación –nos dice la Sala- ya ha sido recientemente resuelta por este tribunal mediante auto dictado con fecha de 19 de febrero de 2010 en el que se indicaba que el artículo 1 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, antes citada, establece:

“Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal.

Añadiendo el artículo 6 que:

“Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial”.

La claridad del precepto no puede ofrecer el menor atisbo de duda sobre la imposibilidad de requerir a las entidades prestadoras del servicio de Internet para que cedan sus datos para finalidades distintas de las previstas en la ley, en este caso para promover un litigio civil sobre infracciones de propiedad intelectual.

Dicha regulación endurece incluso el marco normativo precedente constituido por el artículo 12 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, derogado por la Ley 25/2007, de 18 de octubre de 2007, en cuyos apartado 2 y 3 se establecía:

“2.- Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios a que se refiere este artículo no podrán utilizar los datos retenidos para fines distintos de los indicados en el apartado siguiente u otros que estén permitidos por la Ley.

3.- Los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran”.

La sombra del caso promusicae.

Precisamente en el marco normativo, más amplio, definido por el artículo 12 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, el Tribunal de Justicia de las Comunidades Europeas en su sentencia de fecha 29 de enero de 2008, en respuesta a una cuestión prejudicial planteada por el Juzgado de lo Mercantil nº 5 de Madrid, en un litigio similar en el que el titular de determinados derechos de propiedad intelectual trataba de obtener del prestador del servicio de Internet la identificación de los usuarios de determinado programa de intercambio de archivos musicales para promover la correspondiente demanda, señaló:

“Las Directivas 2000/31/ CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior (Directiva sobre comercio electrónico); 2001/29/ CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información; 2004/48/ CE del Parlamento Europeo y del Consejo de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual; y 2005/58/ CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), no obligan a los Estados miembros a imponer, en una situación como la del asunto principal, el deber de comunicar datos personales con objeto de garantizar la protección efectiva de los derechos de autor en el marco de un procedimiento civil. Sin embargo, el Derecho comunitario exige que dichos Estados miembros, a la hora de adaptar su ordenamiento jurídico interno a estas Directivas, procuren basarse en una interpretación de éstas que garantice un justo equilibrio entre los distintos derechos fundamentales protegidos por el ordenamiento jurídico comunitario. A continuación, en el momento de aplicar las medidas de adaptación del ordenamiento jurídico interno a dichas Directivas, corresponde a las autoridades y a los órganos jurisdiccionales de los Estados miembros no solo interpretar su Derecho nacional de conformidad con estas mismas Directivas, sino también no basarse en una interpretación de éstas que entre en conflicto con dichos derechos fundamentales o con los demás principios generales del Derecho comunitario, como el principio de proporcionalidad”.

Y en el mismo sentido se resuelve en el ulterior auto del mismo Tribunal de 19 de febrero de 2009.

Precisado lo anterior, como es obvio, la protección de la intimidad, de la confidencialidad de las comunicaciones y de los datos de tráfico asociadas a ellas en el ámbito de las comunicaciones electrónicas no es absoluta y es el legislador, valorando la posible colisión con otros derechos, el que establece las excepciones que justifican la comunicación de los datos retenidos, excepciones entre las que, actualmente, no se encuentra facilitar los datos a los jueces y tribunales para que un perjudicado promueva un procedimiento civil por infracción de los derechos de propiedad intelectual.

La culpa … del legislador.

Es el legislador, en ejercicio legítimo de sus exclusivas competencias, el que ha valorado y calibrado los distintos derechos e intereses en juego.

Así, en caso de conflicto entre los derechos derivados de la propiedad intelectual y su protección, de un lado, y, de otro, los derechos la intimidad personal, la confidencialidad de las comunicaciones y de los datos de tráfico asociadas a ellas en el ámbito de las comunicaciones electrónicas, éstos prevalecen salvo que su cesión se pretenda para la detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

La base juridica, la ley 25/2007.

En definitiva, de la lectura de los artículos 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, se deduce con claridad que los datos retenidos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información sólo pueden utilizarse para la detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales, quedando excluida la cesión para promover un procedimiento civil por infracción de los derechos de propiedad intelectual, al entender el legislador que, en este caso, deben prevalecer otros derechos dignos de mayor protección, sin que, en consecuencia pueda invocarse la denegación de la tutela judicial efectiva ni la infracción del artículo 24 de la Constitución y menos el alegado derecho a la obtención de pruebas útiles, necesarias y pertinentes de la existencia de infracciones civiles de derechos de autor, de las que según el propio instante ya hay vestigios suficientes hasta el punto de que, precisamente, son éstos los que justifican la petición de diligencias preliminares con la finalidad esencial no de obtener tales pruebas sino de identificar a los infractores.

 © Ramon Arnó Torrades, 2010, Lleida.

La publicación de una resolución que inhabilita a un Policía Local en el Bome, condenado como autor de un delito de abuso sexual, es una infraccion grave del deber de secreto.

En la SAN 10-02-2010 (Ponente Sra. Mª Luz Lourdes Sanz Calvo) se analiza un caso sobre la vulneración del deber de guardar secreto, proceso en el que se plantean diversas cuestiones de sumo interés, como la distinción entre el derecho a la intimidad y la protección de datos, el ámbito limitado de aplicación de la LOPD a los ficheros no automatizados o el principio de calidad y su relación con la publicación de datos sobre infracciones penales por una Administración Pública.

Esta sentencia resuelve la impugnación de una resolución de la AGPD (AP/00064/2007), que declaró que una Consejería de Seguridad Ciudadana habia infringido el deber de secreto (artículo 10 de la LOPD y 44.3.g, infracción muy grave) al haber vulnerado el deber de secreto sobre los datos relacionados con la vida sexual del denunciante, a la sazón Policia Local de profesión.

Los antecedentes.

En el año 2005 se publicó en el Boletín Oficial de la ciudad de Melilla (BOME) y por la Consejería de Seguridad Ciudadana de la ciudad autónoma de Melilla, una resolución relativa a la “notificación de resolución de expediente disciplinario” referida a un Policía Local que resultaba accesible a través de internet.

Esta resolución señalaba entre otros aspectos, que se condenaba al expedientado como autor de un delito de abuso sexual con prevalimiento a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo durante el tiempo de la condena, destacando que el denunciante (el Policia Local) no habia otorgado consentimiento para que dicha comunicación se llevara a cabo, comprobando la AGPD que se podía acceder al contenido íntegro de la resolución mediante el buscador Google.

El debate juridico.

Ya desde el inicio de la sentencia quedan fijadas las visiones antagónicas entre el responsable del fichero o tratamiento (que es quien recurre la resolución) y la AGPD.

La Consejeria alega resumidamente que:

a.- La notificación practicada finalmente en el BOME (que acordó la separación del servicio del denunciante), se intentó llevar a cabo antes personalmente en aplicación del artículo 59.5 de la LRJPAC, pero al intentarse y no poder ser practicada, se llevó a cabo por medio de anuncios en el Boletín Oficial de la Comunidad Autónoma.

b.- La notificación se materializa por la publicación prevista en el artículo 60 de la LRJPAC, y en concreto el 60.2 conteniendo “los mismos elementos que el punto 2 del artículo 58 exige respecto de las notificaciones”, es decir, publicando de modo íntegro la misma.

c.- La Consejería manifesta que no apreció motivo alguno para aplicar un extracto de la resolución en el BOME, ya que del contenido de la resolución íntegra no se vulnera ningún derecho o interés legítimo, ya que los hechos que originan la incoación del expediente forman parte de una resolución judicial firme y publica, y además han sido objeto de un dilatado tratamiento por parte de los medios de comunicación y difusión pública de la ciudad de Melilla, que constan en las hemerotecas (como primer añadido mio, se desconoce la jurisprudencia fijada en la STC 292/2000, que distingue entre el derecho a la intimidad y el derecho la protección de datos, en su FD6).

Por contra, la AGPD expone lo siguiente:

a.- La Consejería quería notificar la resolución del expediente disciplinario al denunciante de forma eficaz y al intentarlo y no poder ser practicada, se efectuó a través del BOME al amparo del artículo 59.5 de la LRJPAC. Hasta aqui bien.

b.- La Consejería (y ahora empiezan los reproches jurídicos) se extralimitó al publicar datos relacionados con infracciones penales al trasladar al BOME y permitir el acceso generalizado a la referencia que aparece en dicha resolución sobre la sentencia condenatoria penal del denunciante, dando a conocer un delito (abuso sexual) y la pena impuesta, vulnerándose el derecho del Policia Local a que sus datos contenidos en dicha sentencia penal no se divulgaran.

c.- La finalidad pretendida con la notificación podría haberse conseguido, sin aludir directamente a la sentencia y a la condena y a su motivo (la Consejería podía haber omitido el detalle de los hechos por los que fue condenado, o podría haber mencionado que fue condenado por un delito doloso, o podría haberse publicado una notificación en el BOME de forma extractada sin mencionar dichos aspectos), pero no lo hizo, posibilitando así el acceso a dichos datos por multitud de personas a través de los buscadores en las páginas de Internet.

d.- La AGPD reitera que las sentencias no son fuente de acceso al público y además hace referencia al principio de pertinencia en el tratamiento de los datos de carácter personal (artículo 4.1 LOPD), concluyendo que se ha producido una vulneración del deber de secreto al dar a conocer o divulgar el delito y la pena impuesta al denunciante, cuando pudo haberse omitido dicha circunstancia en la notificación realizada.

¿Que hizo el denunciante para tutelar sus derechos?

El Policía Local, aparte de interponer una denuncia ante la AGPD (que es la que declara la infracción del deber se secreto, que es recurrida por el responsable del fichero o tratamiento y que da objeto a la sentencia aqui analizada) acude a otras vías en tutela de sus derechos:

a.- recurre en vía contenciosa administrativa la resolución, dictándose sentencia desestimatoria por el Juzgado de lo Contencioso-Administrativo.

b.- también interpuso otra demanda por responsabilidad patrimonial porque consideraba que dicha publicación había lesionado su derecho al honor y le había originado daños morales, recayendo asimismo sentencia desestimatoria del Juzgado de lo Contencioso-Administrativo.

Pero ¿es aplicable la LOPD?

Una primera cuestión que plantea el responsable del fichero (un argumento claramente no atendible como se verá), es que según su punto de vista no es aplicable la LOPD al acto de publicar en el BOME (y posteriormente volcado o reproducido en Internet), una resolución de un expediente sancionador, por cuanto dicha resolución no forma parte de un fichero de la Administración, sino de un expediente administrativo incoado al denunciante por la Ciudad Autónoma que no se encuentra incluido en ningún fichero de la Administración, invocando en apoyo de su tesis la STS de 19 de septiembre de 2008 que estima que los libros de bautismo no pueden considerarse como ficheros en los términos de la LOPD (sentencia esta última polémica donde las haya, salvo en su interesante voto particular).

Para resolver esta cuestión, la SAN hace referencia al art. 3.1 de la Directiva 95/46 CE (las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos de carácter personal, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero) y cita diversas sentencias de la misma sección (SAN de 18 de diciembre de 2006 y SAN de 22 de abril 2009), para concluir que aparece en la propia Directiva una limitación del alcance del régimen de protección cuando se trata de tratamientos de datos no automatizados, siendo preciso que esos datos tratados estén contenidos o destinados a ser incluidos en un fichero, entendiendo por fichero todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (art. 2 .c. de la Directiva).

Continúa diciendo la SAN que esta limitación del alcance del régimen de protección cuando se trata de tratamientos no automatizados, aparece formulada en términos similares en los considerandos 15 y 27 del Preámbulo de la propia Directiva 95/46:

a.- El considerando 15 recoge que los tratamientos que afectan a los datos de carácter personal sólo quedan amparados por la Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata.

b.- Por su parte el considerando 27 del Preámbulo señala, entre otros particulares, que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como al tratamiento manual … que el alcance de esta protección no debe depender de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión … que no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas … que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales.

Concluye la SAN que la exigencia del fichero se conecta con el tratamiento de datos no automatizados (lo que no se aplica al tratamiento de datos automatizados) y que aplicado ese criterio al caso de autos, la conclusión es que la publicación de la resolución en un Boletín oficial volcado en Internet, constituye un tratamiento automatizado de datos de carácter personal que cae bajo el ámbito de aplicación de la LOPD.

No todos los tratamientos de datos personales en soportes no automatizados quedan amparados en la LOPD ¿hasta cuando?

Una cuestión que ha quedado apuntada en el párrafo anterior es que una parte de los tratamientos efectuados sobre datos personales quedan fuera de la protección de la LOPD, refiriendose a ello la sentencia como una “limitación del alcance del régimen de protección cuando se trata de tratamientos no automatizados”, cuestión esta sumamente criticable desde mi punto de vista, aunque tenga soporte legal en la propia directiva 95/46 y sea recogida en todas las sentencias posteriores a la errónea STS 19-09-2008, sala de lo contencioso-administrativo, cuyo fundamento 4 dice:

“ … debemos concluir que los Libros de Bautismo no constituyen ficheros en los claros y específicos términos en que se consideran tales por la LO 15/99 (art. 3.b.), recogiendo igualmente la definición de estos plasmada en el art. 2 de la Directiva 95/46 CE) …”.

Pienso que la tesis acertada pasa por el atinado voto particular del magistrado D. Joaquín Huelin Martínez de Velasco, sobretodo cuando dice:

“ … Habida cuenta del fundamento de la decisión mayoritaria, de la noción comunitaria de fichero de datos personales y de la ordenación canónica de la inscripción bautismal, me pregunto si los libros que contienen los bautismos administrados, con indicación del día, del nombre y apellidos del neófito, así como del lugar y de la fecha de su nacimiento dejan de ser ficheros por la circunstancia de que no estén ordenados alfabéticamente ni por esa última fecha. O, dicho de otra manera, dudo que la ordenación con arreglo a la jornada en que se celebró el sacramento no sea un «criterio determinado» de acceso, impidiendo tildar a estos libros parroquiales de «conjunto estructurado de datos». Reconozco que la búsqueda resulta más fácil cuanto mayor sea el número de parámetros disponibles, pero no sé qué grado de dificultad en el examen determina que un conjunto estructurado de datos personales deje de considerarse un fichero a los efectos de someterlo a la legislación comunitaria armonizada. ¿Dónde se fija el umbral? “.

Pero lo que plantea el voto particular con ser importante no es suficiente, pues desde mi punto de vista el concepto de fichero que actualmente se maneja en la legislación sobre protección de datos es sumamente perturbador, pues deja una parte del ciclo de vida de los datos personales fuera del campo de proteccion del derecho fundamental, lo que no es comprensible por diversas razones.

Una es que son diversos los supuestos en que el ordenamiento jurídico anticipa la protección del bien juridico a un momento anterior a su puesta en peligro ¿porque en este campo no se hace lo mismo tratándose de un derecho fundamental, haciendo saltar las señales de alarma cuando concurren a la vez datos personales y tratamiento sin esperar a su incorporación a un fichero?

Además la protección que historicamente ha otorgado la legislación protectora en el campo de los datos de caracter personal, se ha asociado al cumplimiento acumulativo de tres requisitos (datos + tratamiento + fichero), con la particularidad que los dos primeros elementos dejan muy poco margen interpretativo sobre su concurrencia (dato y tratamiento), lo que no sucede con el tercero (para ello solo es preciso leer la STS 19-09-2008 y cotejarla con la SAN, cuando se refiere al fichero o los considerandos 15 y 27 de la directiva o el art. 2 .c. de la Directiva -que esos datos tratados estén contenidos o destinados a ser incluidos en un fichero-.

Mi pregunta es ¿no seria necesario fijar ya el momento de protección de un derecho fundamental en el momento preciso en que el dato personal es tratado, sin tener que esperar -en el caso de los ficheros no automatizados-, a que suceda un hecho posterior como es la incorporación a un fichero, cuyos rasgos definitorios además no están nada claros?. ¿no sería mejor hacer desaparecer el concepto fichero?

Razones para ello no nos faltan, pues si nos fijamos por ejemplo en el tratamiento de datos en el campo de la videovigilancia, vemos que queda dentro del campo de proteccion la simple visión de los datos a través de un monitor, aunque no sean fijados en un disco duro, es decir sin que exista un fichero como tal, pero si datos y tratamiento, con la consecuencia final de eximir al responsable de cumplir con la obligacion de crear y notificar el fichero, pero no del resto de obligaciones (calidad, información, seguridad, etc).

¿Porque no se obliga al responsable que simplemente trata datos sin contenerlos en un fichero a cumplir algunos de los principios del título II de la LOPD -por ejemplo secreto y seguridad-? Incomprensible.

No se discute la legalidad de la publicación en el BOME, pero si su contenido, en otras palabras ¿era necesaria para la finalidad pretendida con la notificación de la resolución, la publicación de datos relativos a la infracción penal?.

Cerramos el paréntesis y dejando a parte las anteriores disquisiciones sobre el concepto de fichero, volvemos a la SAN en el punto en el que el responsable del fichero o tratamiento alega que, si bien con carácter general es suficiente para la notificación de un acto con remitirlo por correo con acuse de recibo o por medio de un agente notificador, en el presente caso el funcionario sancionado (que era miembro de la Policía Local), contaba con “informantes” –asi, literalmente- en el propio cuerpo de policía “que le avisaban de que iba a ir un agente notificador”, por lo que como ese medio no tenía virtualidad, el recurso a la publicación íntegra de la resolución era la única posibilidad con que contaba la actora (artículos 58, 59 y 60 LRJPAC).

La AN ante este argumento dice que no se pone en tela de juicio que la Administración intentara notificar la resolución sancionadora en reiteradas ocasiones personalmente al denunciante y que al no conseguirse dicha notificación personal, procediera a la publicación de la resolución en el BOME (al amparo del artículo 59.5 LRJPAC), es decir no objeta que acudiera al BOME para realizar la citada notificación, sino que la cuestión que se suscita es distinta: ¿la publicación de la resolución sancionadora en su integridad en el BOME, vulneró o no la normativa de protección de datos y en concreto el deber de secreto recogido en el artículo 10 LOPD?.

En definitiva la pregunta que se hace la AN es si era necesaria para cumplir la finalidad pretendida (la notificación de la resolución), la publicación de datos relativos a la infracción penal por la que fue condenado el denunciante, tales como el tipo de delito apreciado (de abuso sexual) y la pena impuesta por la sentencia penal.

Para examinar dicha cuestión hay que tomar en consideración que la resolución sancionadora objeto de notificación, imponía la separación del servicio del Sargento de la Policía Local, por la comisión de una infracción muy grave tipificada en el artículo 27.3 de la LO 2/1986, consistente en haber realizado una conducta constitutiva de delito doloso. La Audiencia Provincial de Málaga enjuició la citada conducta y dictó sentencia absolviendo al Policia Local del delito de agresión sexual y le condenó como autor de un delito de abuso sexual, con prevalimiento, a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo de policía durante el tiempo de la anterior condena. Esta sentencia ganó firmeza al desestimar el Tribunal Supremo el recurso interpuesto contra la misma. Al no haberse podido practicar la notificación personal, pese a los reiterados intentos realizados, es cuando se acudió a la notificación de la citada resolución en el BOME.

¿La clave?: el art. 61 LRJPAC interpretado bajo el paraguas de la LOPD

El artículo 61 LRJPAC dispone que si el órgano competente apreciare que la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer en el plazo que se establezca para conocimiento del contenido íntegro mencionado acto y constancia de tal conocimiento.

Se trata por tanto de una norma especifica frente a aquella de carácter general contenida en el artículo 60.2 en relación con el 58.2, y como tal precepto especial debe prevalecer cuando se puedan lesionar con la publicación del acto derechos o intereses legítimos, como el derecho fundamental a la protección de datos, especialmente cuando la publicación de la resolución a notificar se lleva a cabo en un BOME que se ha volcado en Internet y posibilita el acceso a dichos datos por multitud de personas a través de los buscadores.

La pregunta es ¿era posible conseguir la misma finalidad pero sin publicar los datos personales referidos a la infraccion penal?

Queda claro que la finalidad pretendida con la notificación de la resolución podría haberse obtenido (en este caso concreto) sin mencionar el concreto delito por el que fue condenado el denunciante ni la pena impuesta, o notificándose dicha resolución de forma extractada, argumento de la AN que se apoya en el principio de calidad de datos (art. 4 LOPD).

Por tanto no resultaba necesario incluir la citada información que afecta a aspectos relativos a la comisión de infracciones penales recogidos en sentencia y por ello se ha vulnerado su derecho a que sus datos de carácter personal contenidos en la referida sentencia penal no se divulguen mediante su publicación en el BOME volcado en Internet.

Solución que no es contradictoria –continúa diciendo la AN- con la sentencia de 22 de julio de 2007 del Juzgado de lo contencioso administrativo que desestima el recurso interpuesto por el Policia Local contra el Decreto de Presidencia que le impuso la sanción de separación del servicio, pues dicha sentencia analiza la publicación de la resolución administrativa en toda su extensión pero desde el punto de vista del artículo 18 de la CE en relación con el derecho al honor, la intimidad personal y la propia imagen, pero no con el derecho de protección de datos -que es un derecho fundamental autónomo diferenciado del derecho a la intimidad como se expone en la importante STC 292/2000-.

¿Se protegen los datos de caracter personal si ya son de público conocimiento?

Argumenta tambien la recurrente que la publicación de dichos datos no suponía la revelación de datos personales, por cuanto los datos penales a que se hacía referencia en dicha resolución eran de general conocimiento por el seguimiento que hicieron los medios de comunicación de todo el proceso penal y, por tanto, dicha información penal había dejado de pertenecer al ámbito privado y particular del Policia Local mucho antes de que se publicase la resolución disciplinaria en cuestión.

Al respecto cabe aclarar –dice la AN- que el hecho de que los medios de comunicación (prensa escrita de Melilla, como la aportada con la demanda) en el ejercicio de su derecho de información y al amparo del artículo 20 de la CE, se hicieran eco de los hechos por los que fue condenado penalmente el aqui denunciante, no priva a los datos en cuestión de su condición de datos de carácter personal.

La AN hace suya la conocida por reiterada doctrina del TC en su STC 292/2000, sobre el derecho a la protección de datos y el derecho a la intimidad, que transcribimos (FD6):

“La función del derecho fundamental a la intimidad del art. 18.1 C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F.J. 8).

En cambio, el derecho fundamental la la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado.

… De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 C.E., sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, F.J. 4), como el derecho al honor, citado expresamente en el art. 18.4 C.E., e igualmente, en expresión bien amplia del propio art. 18.4 C.E., al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.

De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 C.E. otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.

La vulneracion del deber de secreto.

El artículo 10 de la LOPD –continua exponiendo la sentencia- regula de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos personales (artículos 4 a 12), lo que refleja la gran importancia que el legislador atribuye a este principio. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo de acuerdo con lo dispuesto en otros preceptos como por ejemplo el art. 11 (comunicación de datos).

La LOPD traspone el art. 16 de la Directiva 95/46 /CE que lleva como título “Confidencialidad del tratamiento” y dispone que “Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal”.

El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control o disposición sobre sus datos. El repetido deber de secreto en el tratamiento de datos personales se refiere al ámbito estricto del tratamiento de los datos personales, para que el responsable del fichero y, cualquier persona que intervenga en el tratamiento, esté obligado al mantener la confidencialidad de los datos personales.

En este sentido el artículo 10 de la LOPD dispone “El responsable del fichero y quienes intervengan en cualquier fase de tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o, en su caso, con el responsable del mismo”.

El deber de secreto (SSAN, Sec. 1ª, de 14 de septiembre de 2002, 13 de abril de 2005, 18 de julio de 2007) “es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 … deber de sigilo que resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de datos que recoge el artículo 18.4 de la CE … “.

Es decir, el deber de secreto o confidencialidad se infringe desde el momento en que se permite acceder a terceros a los datos en cuestión, sin que exista cobertura para dicho acceso o lo que es igual, para que dichos terceros puedan conocer los mencionados datos o tenerlos a su disposición, como ha sucedido en el caso enjuiciado.

La calificacion juridica de la infracción ¿grave o muy grave?

Constatada la vulneración del deber de secreto, se analiza finalmente su calificación jurídica en atención a la gravedad de los hechos.

La AGPD calificó en su resolución la infracción como muy grave (44.4.g LOPD) al considerar que la vulneración afectaba a datos de carácter personal que hacían referencia a la vida sexual del denunciante (datos especialmente protegidos según el artículo 7.3 LOPD).

En cambio la AN explica que “ … no se puede mantener que la mera mención del delito cometido por un funcionario público prevaliéndose de su condición de agente de la autoridad, suponga una vulneración de los datos de carácter personal referidos a la “vida sexual” en el sentido establecido en el artículo 7.3 de la LOPD , aunque el delito se incardine entre aquellos que afectan a la libertad sexual, puesto que lo relevante en el caso concreto es que se trata de un delito cometido por un funcionario público prevaliéndose de su cargo …”.

El resultado final.

La AN estima el recurso y anula parcialmente la resolucion de la AGPD, pero sólo en el sentido de calificar como grave (en lugar de muy grave) la infracción del deber de secreto.

©  Ramon Arnó Torrades, 2010, Lleida.

Cesión de curriculum vitae de empresa de seguridad a Universidad.

Un empleado que trabaja en una empresa de seguridad privada la denuncia ante la AGPD, ya que la empresa ha cedido a una Universidad sus datos personales sin consentimiento.

En el expediente incoado por la AGPD (E/00998/2009), se explica que el trabajador aportó a la empresa de seguridad los datos necesarios para formalizar el habitual proceso de contratación laboral, elaborando aquélla la ficha de personal (con el DNI, el nombre, los apellidos, el domicilio, el teléfono, la fecha de nacimiento, el nombre del padre y de la madre, el teléfono móvil, la dirección de correo electrónico, la fecha de expedición del DNI y la experiencia laboral).

Más tarde la empresa de seguridad en la quetrabaja el denunciante cede sus datos personales a la Universidad, al resultar adjudicataria la empresa de seguridad del concurso de seguridad y vigilancia.

El trabajador ante ello ejerce un derecho de acceso ante la Universidad (que le responde facilitándole su ficha de personal) y además presenta una denuncia ante la AGPD contra la empresa.

La Agencia explica que concurre en este caso una excepción al deber de obtener el consentimiento por parte la empresa a su trabajador para ceder sus datos personales, ya que existe una relación contractual entre la Universidad y la empresa de seguridad para cuyo cumplimiento es necesario que la empresa de seguridad facilite datos personales a la Universidad de los trabajadores que van a prestar sus servicios, y que además concurre otra circunstancia importante y es que la cesión de datos personales está prevista en el contrato entre la Universidad y la empresa de seguridad, ya que en el pliego que regula el concurso (apartado 4.2.) se contempla precisamente la cesión de datos personales:

“Elección y sustitución del personal de seguridad y vigilancia …. La empresa adjudicataria proporcionará, como requisito previo a la prestación del servicio, el currcuílum de los vigilantes nuevos propuestos a fin de poder seleccionar aquellos que considere en mejores condiciones para el desempeño de las funciones. Deberá incluir la relación nominativa –con identificación fotográfica- del personal adscrito a la prestación del servicio. A este respecto la UPV/EHU podrá recabar cuanta información y documentación estime pertinente …”.

La AGPD finalmente archiva la denuncia.

©  Ramon Arnó Torrades, 2010, Lleida.

Currículums en la calle ¿cuándo empieza el cómputo de la prescripción?

La Guardia Urbana de Barcelona localiza diversa documentación abandonada en la calle, entre la que encuentra unos 100 currículums vitae con datos personales. Algunos de esos documentos (unos 35) incluyen además una ficha de la entrevista personal llevada a cabo entre el candidato y el entrevistador (con anotaciones referidas a la impresión causada y a su disponibilidad).

Tras la denuncia de la Guardia Urbana, la AGPD (PS/00525/2008, R/00474/2009) inicia un proceso sancionador, destacandose que en el momento de los hechos el responsable no disponía de documento de seguridad, lo que añadido a la presencia de los currículums en la calle, lleva a la AGPD a imputarle la infracción de dos deberes, el de seguridad (art. 9 LOPD) y el de secreto (art. 10 LOPD).

Una cuestión interesante que se discute entre el responsable del fichero o tratamiento y la AGPD es en qué momento empieza el cómputo de la prescripción de las infracciones, si debe iniciarse cuándo se produce el vertido de la documentación en la vía publica (argumento del responsable), o bien, tratándose de una infracción continuada, la misma comienza cuándo dicha documentación es depositada en la calle a la vista de terceros y finaliza en el momento en que la Guardia Urbana localiza las carpetas.

La AGPD se decanta por esta segunda tesis ya que se trata de una infracción permanente (citando la SAN 3-12-2008) con lo que la alegación de prescripción del responsable finalmente no prospera.

La AGPD expone además que el responsable debió adoptar las medidas de seguridad necesarias para impedir cualquier recuperación posterior de la documentación, medidas que no fueron tomadas (art. 44.3.h LOPD, infracción grave de seguridad) y que con su conducta, el responsable tambien vulneró el deber de confidencialidad, que tiene como finalidad evitar que quienes están en contacto con los datos personales, realicen filtraciones de los mismos no consentidas por los titulares de los mismos (art. 44.3.g LOPD).

Dado por tanto que el responsable quebrantó dos deberes (seguridad y secreto) y que ambas infracciones son de caracter grave, por aplicación del art. 4.4 del RD 1398/1993 (reglamento de procedimiento de la potestad sancionadora) las dos se subsumen finalmente en una sola (en este caso, infracción del deber de seguridad, art. 9 LOPD).

La sancion que se impone al responsable es de 4000 euros, importe inferior al habitual en estos casos, al haber ponderado la AGPD diversas circunstancias concurrentes que justifican la reducción del importe de la misma (por aplicacion del art. 45.5 LOPD) como son, por una parte, la existencia de un cambio de titularidad en la empresa meses antes del vertido y tambien por el hecho que la empresa estaba en periodo de cambio de sistemas de informacion, uno de cuyos motivos era precisamente, adaptarse a la LOPD.

© Ramon Arnó Torrades, 2010, Lleida

¿Quién ha reenviado mi curriculum?.

Una persona (aquí denunciante) envía un currículum vitae a un hotel (denunciado) mediante el correo electrónico. El hotel recibe el currículum y lo reenvía (sin consentimiento) a dos personas empleadas en la empresa del denunciante (esta es la infracción !). Más tarde el hotel comunica al denunciante que “dicho CV por causas obvias, no es de nuestro interés”.

Esta es la historia explicada en una resolución de la AGPD (PS/00239/2007, R/01233/2007) que termina con una sanción al hotel por un importe de 60.101,21 euros.

El hotel alega ante la AGPD que el currículum fue enviado a título personal por el denunciante y de forma ajena a los mecanismos habituales de recepción de currículums en la empresa, y además que la persona que recibió el currículum en el hotel (que era el responsable de la citada cadena hotelera), era amigo del denunciante (hecho que éste niega), sin que por tanto existiera ninguna solicitud por parte del hotel hacia el denunciante.

Además la empresa hotelera afirma que la dirección a la que se envió el correo electrónico con el currículum era genérica, esto es que no se correspondía con la dirección del departamento de recursos humanos (de hecho se aportan al procedimiento varios anuncios de trabajo con direcciones de correo electrónico especificas para el envío de currículums al hotel) y que existían además unas normas de actuación y unos procedimientos establecidos respecto al tratamiento de solicitudes de empleo o currículos en el hotel.

La AGPD, partiendo del hecho probado que un directivo del hotel reenvió ese correo electrónico con el currículum a dos personas con las que trabajaba el denunciante sin el consentimiento de éste último, declara que esos hechos suponen la infracción del deber de secreto que corresponde al responsable del fichero o tratamiento, se le imputa una infracción grave (art. 44.3.g LOPD, dado que los datos de un currículum vitae son de nivel medio), lo que a la postre conlleva la imposición de la multa a la que hemos hecho referencia.

© Ramon Arnó Torrades, 2010, Lleida.