Posted: agosto 24th, 2010 | Author: admin | Filed under: Administración pública, Protección de datos de carácter personal, currículum vitae, deber de secreto | No Comments »
Antecedentes.
La denunciante en este proceso (AAPP/00029/2007, R/01317/2007) manifiesta que en junio de 2006 procedió al envío (vía email) de su currículum vitae a un Ayuntamiento con la finalidad de solicitar un puesto de trabajo.
Al cabo de un mes recibió la contestación mediante correo electrónico, comprobando que en la cabecera del mismo aparecían todas las direcciones de e-mail de las personas que al parecer, habían procedido a la solicitud del citado puesto de trabajo.
Tras la denuncia, el Ayuntamiento reconoce los hechos y manifiesta que las cabeceras de dichos correos corresponden a los diferentes candidatos que presentaron el currículo para una plaza de trabajador social y que se les contestó de forma individual, por lo que en ningún momento se pensó que los diferentes correos remitidos iban a ir sumando todas las direcciones a las que se enviaron. Expone además que desde el Servicio Social en ningún momento se envió de forma intencionada las direcciones y que dicha remisión ha sido fruto de un error. Finalmente el Ayuntamiento dice que se puede apreciar que el contenido de dicho correo no contiene datos personales (nombres, direcciones, datos curriculares), ya que son datos de carácter electrónico que en muchos de los casos no identifican a la persona de forma personal, solicitando que se proceda a la archivo de las actuaciones.
El deber de secreto y la cesión de datos
La AGPD hace referencia a las dos infracciones que en principio, se pueden haber cometido por el Ayuntamiento con su actuación:
a.- infracción de la obligación de secreto profesional que incumbe al responsable del fichero y a todos aquellos que intervengan en cualquier fase del tratamiento (art. 10 LOPD).
b.- infracción del régimen jurídico de la cesión de datos personales (art. 11.1 de la LOPD) que exige con carácter general, el consentimiento del afectado para la cesión de sus datos, salvo en los supuestos del apartado 2 del artículo 11 (excepciones).
¿Que supone el deber de secreto?
El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Para ilustrar sobre ese deber, la AGPD cita dos sentencias:
1.- STSJ de Madrid de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.
2.- SAN de 14/09/2001 (fd2): “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida”.
¿La dirección de correo electrónico es un dato personal?
Una cuestión que discute el Ayuntamiento es que la dirección de correo electrónico sea un dato de carácter personal.
Sobre tal cuestión –dice la AGPD- se ha pronunciando el Abogado del Estado, Jefe del Gabinete Jurídico, en su escrito nº 508/2003 de fecha 5/02/2004 al recoger que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en si misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.
De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:
a.- El primero de ellos se refiere a aquellos supuestos en que voluntaria o
involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a juicio de la AGPD, no existe duda de que la dirección de correo identifica, incluso de forma directa al titular de la cuenta, por lo que, en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del estado en
que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso delimitarse el centro de trabajo en que se realiza la prestación).
2.- Un segundo supuesto seria aquél en que, en principio, la dirección de correo no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación.
3.- Junto con estos dos supuestos, debe añadirse que si en un fichero junto con la dirección de aparecieran otros datos que permitieran la identificación del sujeto (tales como su nombre y apellidos, su número de teléfono o su domicilio, conjunta o separadamente), la identificación seria absoluta y no se plantearía duda de que nos encontramos ante un supuesto de cesión de datos de carácter personal.
A la vista de lo que se ha indicado, cabe concluir una dirección de correo electrónico es un dato de carácter personal y que el tratamiento de los datos relacionados con dicha dirección de correo requerirá el consentimiento del afectado, por lo que no será posible utilizar la dirección de correo electrónico si la interesada no ha dado su consentimiento para que esos datos sean cedidos a terceras personas.
Finalmente, vulneración del deber de secreto.
Habida cuenta de lo expuesto, el correo electrónico del Ayuntamiento incluye direcciones electrónicas correspondientes a personas físicas -que son datos de carácter personal-, por lo que la cesión a terceros ajenos supone una vulneración del deber de secreto.
Por tanto el Ayuntamiento ha infringido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como leve en el artículo 44.2.e) de la citada norma, al remitir a la denunciante un correo electrónico con direcciones electrónicas de terceros.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 21st, 2010 | Author: admin | Filed under: Administración pública, creación de fichero, currículum vitae, deber de secreto | No Comments »
El diario Heraldo de Aragón publica la siguiente noticia “Roban datos de trabajadores del Provincial”, información que un particular pone en conocimiento de la AGPD, la que inicia las investigaciones que finalizan con la declaración de dos infracciones graves (falta de seguridad y falta de creación del fichero) como se expone en la AP/00018/2010, R/01436/2010 de 2-07-2010.
Durante la visita de la inspección de la AGPDA realizada al Hospital, se constata que entre los objetos sustraídos, figura un dispositivo de almacenamiento usb de 1gb capacidad, color blanco y marca que se desconoce, conteniendo en su interior un fichero con los datos personales y de la nómina del citado hospital, lápiz de memoria que fue proporcionado por el servicio de informática al servicio de personal del hospital.
¿Que contenia el usb robado?.
En el momento del robo, la información contenida en el mencionado soporte consistía en diversos datos de carácter personal:
1.- un fichero con la nómina del personal, cuyo destino era la entidad bancaria que realiza los pagos de dicha nómina, con el nombre, los apellidos, el código de cuenta corriente y el salario. El motivo de que se llevase dicho soporte al banco es que anteriormente dicha transferencia de información se realizaba en disquetes, que frecuentemente resultaban dañados en los arcos de seguridad de la sucursal bancaria. Aclaran igualmente que el código de cuenta corriente figuraba codificado.
2.- un fichero de trienios, conteniendo la información acerca de las personas que tenían un trienio recientemente reconocido y que había que comenzar a pagar. El contenido concreto del fichero era el nombre, la categoría profesional, la fecha del trienio y el importe.
3.- un fichero de costes, utilizado para la realización de estudios de costes, conteniendo: nombre, gfh (grupo funcional homologado) y coste asociado.
El servicio de informática dispone del software TrueCrypt para el cifrado de soportes, a disposición de aquellos usuarios que lo soliciten. Actualmente se utiliza únicamente en el Servicio de Informática.
El hospital toma medidas de seguridad … pero despues del robo.
Durante la visita de inspección los representantes del mismo informan ademas de las medidas adoptadas a raíz del robo:
a.- Instalación de un sistema de alarma y videovigilancia.
b.- Transmisión telemática de los datos de nóminas a la entidad bancaria.
c.- Deshabilitación de los puertos USB en todos los equipos excepto en aquellos en que se solicite habilitación, de forma expresa.
Exponen los representantes del Hospital que el documento de seguridad se encuentra en desarrollo y que tampoco disponen del registro de incidencias ni del registro de soportes.
¿Y el documento de seguridad? … en fase de creación.
En el Acta de inspección consta que el documento de seguridad está en elaboración, y que no tienen registro de soportes ni registro de incidencias, aunque si dos documentos estableciendo las funciones del personal que trabaja con ficheros que contienen datos de carácter personal:
a.- Funciones y obligaciones específicas de cada usuario.
b.- Obligaciones de los usuarios de ficheros con datos de carácter personal.
El primero de ellos debe ser firmado por los nuevos usuarios del sistema de información del Hospital, a quienes se les entrega en el mismo acto una copia del segundo documento.
Los representantes del Hospital aportan copias de los documentos mencionados.
Las comprobaciones de los inspectores de la AGPD.
Los inspectores de la Agencia realizaron las siguientes comprobaciones:
a. Se accedió al ordenador del Jefe de Servicio, donde tras insertar un lápiz de memoria en un puerto USB se verificó que el sistema requiere permisos de administrador para la instalación del mismo.
b. Se accedió a los ordenadores de los dos jefes de sección con que cuenta el Servicio, verificando que en uno de ellos el sistema operativo requiere la instalación de un software que precisa de privilegios de administrador, mientras que el segundo tiene habilitado el acceso, manifestando su usuaria que dicha habilitación se solicitó al tener que trasladar copia de la información de un concurso a un ordenador portátil para ser usado en la Mesa de Valoración.
c. Se accedió a tres ordenadores seleccionados al azar entre el resto de los equipos del Servicio, comprobando que en dos de ellos está habilitado el uso de dispositivos de memoria extraíbles, mientras que en el tercero de ellos no lo está. (Folios 24 y 25).
El deber de seguridad, segun la LOPD.
En referencia al deber de seguridad la LOPD –art. 9- impone al responsable del fichero la adopción de medidas de seguridad que eviten accesos no autorizados, por lo que el mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
¿Y que dice la normativa especifica en materia de seguridad?
En referencia a las infracciones objeto de análisis, el Real Decreto 1720/2007 establece lo siguiente:
Artículo 90. Registro de incidencias.
Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
Artículo 92. Gestión de soportes y documentos.
1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitarla sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas”.
Al final, dos infracciones graves.
Se constata la infracción de dos obligaciones:
a.- la primera la de dictar la preceptiva disposición de creación del fichero o de los ficheros del Hospital, lo que supone una vulneración del artículo 20 de la LOPD.
b.- la segunda (art. 9 LOPD) la de mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (el RD 1720/2007).
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 16th, 2010 | Author: admin | Filed under: Administración pública, Intimidad, Protección de datos de carácter personal, deber de secreto, fichero no automatizado | No Comments »
En la SAN 10-02-2010 (Ponente Sra. Mª Luz Lourdes Sanz Calvo) se analiza un caso sobre la vulneración del deber de guardar secreto, proceso en el que se plantean diversas cuestiones de sumo interés, como la distinción entre el derecho a la intimidad y la protección de datos, el ámbito limitado de aplicación de la LOPD a los ficheros no automatizados o el principio de calidad y su relación con la publicación de datos sobre infracciones penales por una Administración Pública.
Esta sentencia resuelve la impugnación de una resolución de la AGPD (AP/00064/2007), que declaró que una Consejería de Seguridad Ciudadana habia infringido el deber de secreto (artículo 10 de la LOPD y 44.3.g, infracción muy grave) al haber vulnerado el deber de secreto sobre los datos relacionados con la vida sexual del denunciante, a la sazón Policia Local de profesión.
Los antecedentes.
En el año 2005 se publicó en el Boletín Oficial de la ciudad de Melilla (BOME) y por la Consejería de Seguridad Ciudadana de la ciudad autónoma de Melilla, una resolución relativa a la “notificación de resolución de expediente disciplinario” referida a un Policía Local que resultaba accesible a través de internet.
Esta resolución señalaba entre otros aspectos, que se condenaba al expedientado como autor de un delito de abuso sexual con prevalimiento a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo durante el tiempo de la condena, destacando que el denunciante (el Policia Local) no habia otorgado consentimiento para que dicha comunicación se llevara a cabo, comprobando la AGPD que se podía acceder al contenido íntegro de la resolución mediante el buscador Google.
El debate juridico.
Ya desde el inicio de la sentencia quedan fijadas las visiones antagónicas entre el responsable del fichero o tratamiento (que es quien recurre la resolución) y la AGPD.
La Consejeria alega resumidamente que:
a.- La notificación practicada finalmente en el BOME (que acordó la separación del servicio del denunciante), se intentó llevar a cabo antes personalmente en aplicación del artículo 59.5 de la LRJPAC, pero al intentarse y no poder ser practicada, se llevó a cabo por medio de anuncios en el Boletín Oficial de la Comunidad Autónoma.
b.- La notificación se materializa por la publicación prevista en el artículo 60 de la LRJPAC, y en concreto el 60.2 conteniendo “los mismos elementos que el punto 2 del artículo 58 exige respecto de las notificaciones”, es decir, publicando de modo íntegro la misma.
c.- La Consejería manifesta que no apreció motivo alguno para aplicar un extracto de la resolución en el BOME, ya que del contenido de la resolución íntegra no se vulnera ningún derecho o interés legítimo, ya que los hechos que originan la incoación del expediente forman parte de una resolución judicial firme y publica, y además han sido objeto de un dilatado tratamiento por parte de los medios de comunicación y difusión pública de la ciudad de Melilla, que constan en las hemerotecas (como primer añadido mio, se desconoce la jurisprudencia fijada en la STC 292/2000, que distingue entre el derecho a la intimidad y el derecho la protección de datos, en su FD6).
Por contra, la AGPD expone lo siguiente:
a.- La Consejería quería notificar la resolución del expediente disciplinario al denunciante de forma eficaz y al intentarlo y no poder ser practicada, se efectuó a través del BOME al amparo del artículo 59.5 de la LRJPAC. Hasta aqui bien.
b.- La Consejería (y ahora empiezan los reproches jurídicos) se extralimitó al publicar datos relacionados con infracciones penales al trasladar al BOME y permitir el acceso generalizado a la referencia que aparece en dicha resolución sobre la sentencia condenatoria penal del denunciante, dando a conocer un delito (abuso sexual) y la pena impuesta, vulnerándose el derecho del Policia Local a que sus datos contenidos en dicha sentencia penal no se divulgaran.
c.- La finalidad pretendida con la notificación podría haberse conseguido, sin aludir directamente a la sentencia y a la condena y a su motivo (la Consejería podía haber omitido el detalle de los hechos por los que fue condenado, o podría haber mencionado que fue condenado por un delito doloso, o podría haberse publicado una notificación en el BOME de forma extractada sin mencionar dichos aspectos), pero no lo hizo, posibilitando así el acceso a dichos datos por multitud de personas a través de los buscadores en las páginas de Internet.
d.- La AGPD reitera que las sentencias no son fuente de acceso al público y además hace referencia al principio de pertinencia en el tratamiento de los datos de carácter personal (artículo 4.1 LOPD), concluyendo que se ha producido una vulneración del deber de secreto al dar a conocer o divulgar el delito y la pena impuesta al denunciante, cuando pudo haberse omitido dicha circunstancia en la notificación realizada.
¿Que hizo el denunciante para tutelar sus derechos?
El Policía Local, aparte de interponer una denuncia ante la AGPD (que es la que declara la infracción del deber se secreto, que es recurrida por el responsable del fichero o tratamiento y que da objeto a la sentencia aqui analizada) acude a otras vías en tutela de sus derechos:
a.- recurre en vía contenciosa administrativa la resolución, dictándose sentencia desestimatoria por el Juzgado de lo Contencioso-Administrativo.
b.- también interpuso otra demanda por responsabilidad patrimonial porque consideraba que dicha publicación había lesionado su derecho al honor y le había originado daños morales, recayendo asimismo sentencia desestimatoria del Juzgado de lo Contencioso-Administrativo.
Pero ¿es aplicable la LOPD?
Una primera cuestión que plantea el responsable del fichero (un argumento claramente no atendible como se verá), es que según su punto de vista no es aplicable la LOPD al acto de publicar en el BOME (y posteriormente volcado o reproducido en Internet), una resolución de un expediente sancionador, por cuanto dicha resolución no forma parte de un fichero de la Administración, sino de un expediente administrativo incoado al denunciante por la Ciudad Autónoma que no se encuentra incluido en ningún fichero de la Administración, invocando en apoyo de su tesis la STS de 19 de septiembre de 2008 que estima que los libros de bautismo no pueden considerarse como ficheros en los términos de la LOPD (sentencia esta última polémica donde las haya, salvo en su interesante voto particular).
Para resolver esta cuestión, la SAN hace referencia al art. 3.1 de la Directiva 95/46 CE (las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos de carácter personal, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero) y cita diversas sentencias de la misma sección (SAN de 18 de diciembre de 2006 y SAN de 22 de abril 2009), para concluir que aparece en la propia Directiva una limitación del alcance del régimen de protección cuando se trata de tratamientos de datos no automatizados, siendo preciso que esos datos tratados estén contenidos o destinados a ser incluidos en un fichero, entendiendo por fichero todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (art. 2 .c. de la Directiva).
Continúa diciendo la SAN que esta limitación del alcance del régimen de protección cuando se trata de tratamientos no automatizados, aparece formulada en términos similares en los considerandos 15 y 27 del Preámbulo de la propia Directiva 95/46:
a.- El considerando 15 recoge que los tratamientos que afectan a los datos de carácter personal sólo quedan amparados por la Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata.
b.- Por su parte el considerando 27 del Preámbulo señala, entre otros particulares, que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como al tratamiento manual … que el alcance de esta protección no debe depender de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión … que no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas … que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales.
Concluye la SAN que la exigencia del fichero se conecta con el tratamiento de datos no automatizados (lo que no se aplica al tratamiento de datos automatizados) y que aplicado ese criterio al caso de autos, la conclusión es que la publicación de la resolución en un Boletín oficial volcado en Internet, constituye un tratamiento automatizado de datos de carácter personal que cae bajo el ámbito de aplicación de la LOPD.
No todos los tratamientos de datos personales en soportes no automatizados quedan amparados en la LOPD ¿hasta cuando?
Una cuestión que ha quedado apuntada en el párrafo anterior es que una parte de los tratamientos efectuados sobre datos personales quedan fuera de la protección de la LOPD, refiriendose a ello la sentencia como una “limitación del alcance del régimen de protección cuando se trata de tratamientos no automatizados”, cuestión esta sumamente criticable desde mi punto de vista, aunque tenga soporte legal en la propia directiva 95/46 y sea recogida en todas las sentencias posteriores a la errónea STS 19-09-2008, sala de lo contencioso-administrativo, cuyo fundamento 4 dice:
“ … debemos concluir que los Libros de Bautismo no constituyen ficheros en los claros y específicos términos en que se consideran tales por la LO 15/99 (art. 3.b.), recogiendo igualmente la definición de estos plasmada en el art. 2 de la Directiva 95/46 CE) …”.
Pienso que la tesis acertada pasa por el atinado voto particular del magistrado D. Joaquín Huelin Martínez de Velasco, sobretodo cuando dice:
“ … Habida cuenta del fundamento de la decisión mayoritaria, de la noción comunitaria de fichero de datos personales y de la ordenación canónica de la inscripción bautismal, me pregunto si los libros que contienen los bautismos administrados, con indicación del día, del nombre y apellidos del neófito, así como del lugar y de la fecha de su nacimiento dejan de ser ficheros por la circunstancia de que no estén ordenados alfabéticamente ni por esa última fecha. O, dicho de otra manera, dudo que la ordenación con arreglo a la jornada en que se celebró el sacramento no sea un «criterio determinado» de acceso, impidiendo tildar a estos libros parroquiales de «conjunto estructurado de datos». Reconozco que la búsqueda resulta más fácil cuanto mayor sea el número de parámetros disponibles, pero no sé qué grado de dificultad en el examen determina que un conjunto estructurado de datos personales deje de considerarse un fichero a los efectos de someterlo a la legislación comunitaria armonizada. ¿Dónde se fija el umbral? “.
Pero lo que plantea el voto particular con ser importante no es suficiente, pues desde mi punto de vista el concepto de fichero que actualmente se maneja en la legislación sobre protección de datos es sumamente perturbador, pues deja una parte del ciclo de vida de los datos personales fuera del campo de proteccion del derecho fundamental, lo que no es comprensible por diversas razones.
Una es que son diversos los supuestos en que el ordenamiento jurídico anticipa la protección del bien juridico a un momento anterior a su puesta en peligro ¿porque en este campo no se hace lo mismo tratándose de un derecho fundamental, haciendo saltar las señales de alarma cuando concurren a la vez datos personales y tratamiento sin esperar a su incorporación a un fichero?
Además la protección que historicamente ha otorgado la legislación protectora en el campo de los datos de caracter personal, se ha asociado al cumplimiento acumulativo de tres requisitos (datos + tratamiento + fichero), con la particularidad que los dos primeros elementos dejan muy poco margen interpretativo sobre su concurrencia (dato y tratamiento), lo que no sucede con el tercero (para ello solo es preciso leer la STS 19-09-2008 y cotejarla con la SAN, cuando se refiere al fichero o los considerandos 15 y 27 de la directiva o el art. 2 .c. de la Directiva -que esos datos tratados estén contenidos o destinados a ser incluidos en un fichero-.
Mi pregunta es ¿no seria necesario fijar ya el momento de protección de un derecho fundamental en el momento preciso en que el dato personal es tratado, sin tener que esperar -en el caso de los ficheros no automatizados-, a que suceda un hecho posterior como es la incorporación a un fichero, cuyos rasgos definitorios además no están nada claros?. ¿no sería mejor hacer desaparecer el concepto fichero?
Razones para ello no nos faltan, pues si nos fijamos por ejemplo en el tratamiento de datos en el campo de la videovigilancia, vemos que queda dentro del campo de proteccion la simple visión de los datos a través de un monitor, aunque no sean fijados en un disco duro, es decir sin que exista un fichero como tal, pero si datos y tratamiento, con la consecuencia final de eximir al responsable de cumplir con la obligacion de crear y notificar el fichero, pero no del resto de obligaciones (calidad, información, seguridad, etc).
¿Porque no se obliga al responsable que simplemente trata datos sin contenerlos en un fichero a cumplir algunos de los principios del título II de la LOPD -por ejemplo secreto y seguridad-? Incomprensible.
No se discute la legalidad de la publicación en el BOME, pero si su contenido, en otras palabras ¿era necesaria para la finalidad pretendida con la notificación de la resolución, la publicación de datos relativos a la infracción penal?.
Cerramos el paréntesis y dejando a parte las anteriores disquisiciones sobre el concepto de fichero, volvemos a la SAN en el punto en el que el responsable del fichero o tratamiento alega que, si bien con carácter general es suficiente para la notificación de un acto con remitirlo por correo con acuse de recibo o por medio de un agente notificador, en el presente caso el funcionario sancionado (que era miembro de la Policía Local), contaba con “informantes” –asi, literalmente- en el propio cuerpo de policía “que le avisaban de que iba a ir un agente notificador”, por lo que como ese medio no tenía virtualidad, el recurso a la publicación íntegra de la resolución era la única posibilidad con que contaba la actora (artículos 58, 59 y 60 LRJPAC).
La AN ante este argumento dice que no se pone en tela de juicio que la Administración intentara notificar la resolución sancionadora en reiteradas ocasiones personalmente al denunciante y que al no conseguirse dicha notificación personal, procediera a la publicación de la resolución en el BOME (al amparo del artículo 59.5 LRJPAC), es decir no objeta que acudiera al BOME para realizar la citada notificación, sino que la cuestión que se suscita es distinta: ¿la publicación de la resolución sancionadora en su integridad en el BOME, vulneró o no la normativa de protección de datos y en concreto el deber de secreto recogido en el artículo 10 LOPD?.
En definitiva la pregunta que se hace la AN es si era necesaria para cumplir la finalidad pretendida (la notificación de la resolución), la publicación de datos relativos a la infracción penal por la que fue condenado el denunciante, tales como el tipo de delito apreciado (de abuso sexual) y la pena impuesta por la sentencia penal.
Para examinar dicha cuestión hay que tomar en consideración que la resolución sancionadora objeto de notificación, imponía la separación del servicio del Sargento de la Policía Local, por la comisión de una infracción muy grave tipificada en el artículo 27.3 de la LO 2/1986, consistente en haber realizado una conducta constitutiva de delito doloso. La Audiencia Provincial de Málaga enjuició la citada conducta y dictó sentencia absolviendo al Policia Local del delito de agresión sexual y le condenó como autor de un delito de abuso sexual, con prevalimiento, a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo de policía durante el tiempo de la anterior condena. Esta sentencia ganó firmeza al desestimar el Tribunal Supremo el recurso interpuesto contra la misma. Al no haberse podido practicar la notificación personal, pese a los reiterados intentos realizados, es cuando se acudió a la notificación de la citada resolución en el BOME.
¿La clave?: el art. 61 LRJPAC interpretado bajo el paraguas de la LOPD
El artículo 61 LRJPAC dispone que si el órgano competente apreciare que la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer en el plazo que se establezca para conocimiento del contenido íntegro mencionado acto y constancia de tal conocimiento.
Se trata por tanto de una norma especifica frente a aquella de carácter general contenida en el artículo 60.2 en relación con el 58.2, y como tal precepto especial debe prevalecer cuando se puedan lesionar con la publicación del acto derechos o intereses legítimos, como el derecho fundamental a la protección de datos, especialmente cuando la publicación de la resolución a notificar se lleva a cabo en un BOME que se ha volcado en Internet y posibilita el acceso a dichos datos por multitud de personas a través de los buscadores.
La pregunta es ¿era posible conseguir la misma finalidad pero sin publicar los datos personales referidos a la infraccion penal?
Queda claro que la finalidad pretendida con la notificación de la resolución podría haberse obtenido (en este caso concreto) sin mencionar el concreto delito por el que fue condenado el denunciante ni la pena impuesta, o notificándose dicha resolución de forma extractada, argumento de la AN que se apoya en el principio de calidad de datos (art. 4 LOPD).
Por tanto no resultaba necesario incluir la citada información que afecta a aspectos relativos a la comisión de infracciones penales recogidos en sentencia y por ello se ha vulnerado su derecho a que sus datos de carácter personal contenidos en la referida sentencia penal no se divulguen mediante su publicación en el BOME volcado en Internet.
Solución que no es contradictoria –continúa diciendo la AN- con la sentencia de 22 de julio de 2007 del Juzgado de lo contencioso administrativo que desestima el recurso interpuesto por el Policia Local contra el Decreto de Presidencia que le impuso la sanción de separación del servicio, pues dicha sentencia analiza la publicación de la resolución administrativa en toda su extensión pero desde el punto de vista del artículo 18 de la CE en relación con el derecho al honor, la intimidad personal y la propia imagen, pero no con el derecho de protección de datos -que es un derecho fundamental autónomo diferenciado del derecho a la intimidad como se expone en la importante STC 292/2000-.
¿Se protegen los datos de caracter personal si ya son de público conocimiento?
Argumenta tambien la recurrente que la publicación de dichos datos no suponía la revelación de datos personales, por cuanto los datos penales a que se hacía referencia en dicha resolución eran de general conocimiento por el seguimiento que hicieron los medios de comunicación de todo el proceso penal y, por tanto, dicha información penal había dejado de pertenecer al ámbito privado y particular del Policia Local mucho antes de que se publicase la resolución disciplinaria en cuestión.
Al respecto cabe aclarar –dice la AN- que el hecho de que los medios de comunicación (prensa escrita de Melilla, como la aportada con la demanda) en el ejercicio de su derecho de información y al amparo del artículo 20 de la CE, se hicieran eco de los hechos por los que fue condenado penalmente el aqui denunciante, no priva a los datos en cuestión de su condición de datos de carácter personal.
La AN hace suya la conocida por reiterada doctrina del TC en su STC 292/2000, sobre el derecho a la protección de datos y el derecho a la intimidad, que transcribimos (FD6):
“La función del derecho fundamental a la intimidad del art. 18.1 C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F.J. 8).
En cambio, el derecho fundamental la la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado.
… De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 C.E., sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, F.J. 4), como el derecho al honor, citado expresamente en el art. 18.4 C.E., e igualmente, en expresión bien amplia del propio art. 18.4 C.E., al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.
De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 C.E. otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.
La vulneracion del deber de secreto.
El artículo 10 de la LOPD –continua exponiendo la sentencia- regula de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos personales (artículos 4 a 12), lo que refleja la gran importancia que el legislador atribuye a este principio. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo de acuerdo con lo dispuesto en otros preceptos como por ejemplo el art. 11 (comunicación de datos).
La LOPD traspone el art. 16 de la Directiva 95/46 /CE que lleva como título “Confidencialidad del tratamiento” y dispone que “Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal”.
El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control o disposición sobre sus datos. El repetido deber de secreto en el tratamiento de datos personales se refiere al ámbito estricto del tratamiento de los datos personales, para que el responsable del fichero y, cualquier persona que intervenga en el tratamiento, esté obligado al mantener la confidencialidad de los datos personales.
En este sentido el artículo 10 de la LOPD dispone “El responsable del fichero y quienes intervengan en cualquier fase de tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o, en su caso, con el responsable del mismo”.
El deber de secreto (SSAN, Sec. 1ª, de 14 de septiembre de 2002, 13 de abril de 2005, 18 de julio de 2007) “es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 … deber de sigilo que resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de datos que recoge el artículo 18.4 de la CE … “.
Es decir, el deber de secreto o confidencialidad se infringe desde el momento en que se permite acceder a terceros a los datos en cuestión, sin que exista cobertura para dicho acceso o lo que es igual, para que dichos terceros puedan conocer los mencionados datos o tenerlos a su disposición, como ha sucedido en el caso enjuiciado.
La calificacion juridica de la infracción ¿grave o muy grave?
Constatada la vulneración del deber de secreto, se analiza finalmente su calificación jurídica en atención a la gravedad de los hechos.
La AGPD calificó en su resolución la infracción como muy grave (44.4.g LOPD) al considerar que la vulneración afectaba a datos de carácter personal que hacían referencia a la vida sexual del denunciante (datos especialmente protegidos según el artículo 7.3 LOPD).
En cambio la AN explica que “ … no se puede mantener que la mera mención del delito cometido por un funcionario público prevaliéndose de su condición de agente de la autoridad, suponga una vulneración de los datos de carácter personal referidos a la “vida sexual” en el sentido establecido en el artículo 7.3 de la LOPD , aunque el delito se incardine entre aquellos que afectan a la libertad sexual, puesto que lo relevante en el caso concreto es que se trata de un delito cometido por un funcionario público prevaliéndose de su cargo …”.
El resultado final.
La AN estima el recurso y anula parcialmente la resolucion de la AGPD, pero sólo en el sentido de calificar como grave (en lugar de muy grave) la infracción del deber de secreto.
© Ramon Arnó Torrades, 2010, Lleida.
