Posted: agosto 24th, 2010 | Author: admin | Filed under: Administración pública, Protección de datos de carácter personal, currículum vitae, deber de secreto | No Comments »
Antecedentes.
La denunciante en este proceso (AAPP/00029/2007, R/01317/2007) manifiesta que en junio de 2006 procedió al envío (vía email) de su currículum vitae a un Ayuntamiento con la finalidad de solicitar un puesto de trabajo.
Al cabo de un mes recibió la contestación mediante correo electrónico, comprobando que en la cabecera del mismo aparecían todas las direcciones de e-mail de las personas que al parecer, habían procedido a la solicitud del citado puesto de trabajo.
Tras la denuncia, el Ayuntamiento reconoce los hechos y manifiesta que las cabeceras de dichos correos corresponden a los diferentes candidatos que presentaron el currículo para una plaza de trabajador social y que se les contestó de forma individual, por lo que en ningún momento se pensó que los diferentes correos remitidos iban a ir sumando todas las direcciones a las que se enviaron. Expone además que desde el Servicio Social en ningún momento se envió de forma intencionada las direcciones y que dicha remisión ha sido fruto de un error. Finalmente el Ayuntamiento dice que se puede apreciar que el contenido de dicho correo no contiene datos personales (nombres, direcciones, datos curriculares), ya que son datos de carácter electrónico que en muchos de los casos no identifican a la persona de forma personal, solicitando que se proceda a la archivo de las actuaciones.
El deber de secreto y la cesión de datos
La AGPD hace referencia a las dos infracciones que en principio, se pueden haber cometido por el Ayuntamiento con su actuación:
a.- infracción de la obligación de secreto profesional que incumbe al responsable del fichero y a todos aquellos que intervengan en cualquier fase del tratamiento (art. 10 LOPD).
b.- infracción del régimen jurídico de la cesión de datos personales (art. 11.1 de la LOPD) que exige con carácter general, el consentimiento del afectado para la cesión de sus datos, salvo en los supuestos del apartado 2 del artículo 11 (excepciones).
¿Que supone el deber de secreto?
El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Para ilustrar sobre ese deber, la AGPD cita dos sentencias:
1.- STSJ de Madrid de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.
2.- SAN de 14/09/2001 (fd2): “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida”.
¿La dirección de correo electrónico es un dato personal?
Una cuestión que discute el Ayuntamiento es que la dirección de correo electrónico sea un dato de carácter personal.
Sobre tal cuestión –dice la AGPD- se ha pronunciando el Abogado del Estado, Jefe del Gabinete Jurídico, en su escrito nº 508/2003 de fecha 5/02/2004 al recoger que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en si misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.
De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:
a.- El primero de ellos se refiere a aquellos supuestos en que voluntaria o
involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a juicio de la AGPD, no existe duda de que la dirección de correo identifica, incluso de forma directa al titular de la cuenta, por lo que, en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del estado en
que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso delimitarse el centro de trabajo en que se realiza la prestación).
2.- Un segundo supuesto seria aquél en que, en principio, la dirección de correo no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación.
3.- Junto con estos dos supuestos, debe añadirse que si en un fichero junto con la dirección de aparecieran otros datos que permitieran la identificación del sujeto (tales como su nombre y apellidos, su número de teléfono o su domicilio, conjunta o separadamente), la identificación seria absoluta y no se plantearía duda de que nos encontramos ante un supuesto de cesión de datos de carácter personal.
A la vista de lo que se ha indicado, cabe concluir una dirección de correo electrónico es un dato de carácter personal y que el tratamiento de los datos relacionados con dicha dirección de correo requerirá el consentimiento del afectado, por lo que no será posible utilizar la dirección de correo electrónico si la interesada no ha dado su consentimiento para que esos datos sean cedidos a terceras personas.
Finalmente, vulneración del deber de secreto.
Habida cuenta de lo expuesto, el correo electrónico del Ayuntamiento incluye direcciones electrónicas correspondientes a personas físicas -que son datos de carácter personal-, por lo que la cesión a terceros ajenos supone una vulneración del deber de secreto.
Por tanto el Ayuntamiento ha infringido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como leve en el artículo 44.2.e) de la citada norma, al remitir a la denunciante un correo electrónico con direcciones electrónicas de terceros.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 18th, 2010 | Author: admin | Filed under: Protección de datos de carácter personal, consentimiento, currículum vitae | No Comments »
En esta resolución de la AGPD (PS/00046/2007, R/00998/2007) se analiza el caso de una persona (la denunciante) que envía su curriculum vitae por correo electronico a una empresa y más tarde ésta incluye sus datos personales (asi como el currículum) en una relación nominal de personal que aporta para presentarse a un concurso público, todo ello sin consentimiento de la denunciante.
La afectada acredita que nunca habia trabajado para esa empresa (de hecho aporta un informe de vida laboral) y que tampoco consintió en que se llevara a cabo ese tratamiento ni la cesión de sus datos personales.
La empresa por su parte se defiende manifestando lo siguiente:
a.- La denunciante autorizó de forma expresa y verbal el tratamiento por parte de la empresa y la cesion de sus datos personales.
b.- Además existía entre ambos una relación precontractual con objeto de incorporar a la afectada a la plantilla de la empresa, lo que finalmente no se produjo.
La AGPD explica en su resolución que no se ha acreditado la existencia de relación laboral con la denunciante, ni la existencia de precontrato entre ambas partes, así como cualquier otro tipo de prestación de servicios efectuada, ni por tanto consentimiento para la cesión de datos personales, con lo la AGPD impone dos sanciones a la empresa:
a.- La primera por falta de consentimiento, lo que supone una multa de 60.101,21 € (infracción del artículo 6.1 en relacion con el artículo 44.3.d).
b.- La segunda por cesion inconsentida, con una sanción de 300.506,05 € (infracción del artículo 11.1 en relacion con el artículo 44.4.b).
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 16th, 2010 | Author: admin | Filed under: Honor, Intimidad, Propiedad Intelectual, Protección de datos de carácter personal, direccion IP | No Comments »
“A veces si, a veces no”, cantaba Julio Iglesias hace unos años. Más recientemente Jarabe de Palo escribió en una canción que “ … Depende, de qué depende, de según como se mire todo depende …”.
Un auto y una sentencia del 2010 dictados en menos de un mes por dos audiencias provinciales (la de Madrid y la de Guadalajara) en asuntos en que el acceso a los datos de identificación del titular de una IP era necesarios para el éxito de la pretensión, ponen de manifiesto una vez más el confuso régimen jurídico que regula el acceso a los datos de un abonado a una IP, cuando la petición se lleva a cabo ante un Juzgado civil.
La Sentencia de la AP de Guadalajara (Sección 1ª), de 17-03-2010, ponente Sra. Isabel Serrano Frías.
En la sentencia de marzo de 2010 se juzga la intromisión ilegitima en el derecho al honor de una persona. Se explica que la demanda es desestimada en primera instancia -fallo que se confirma en segunda-, ya que pese a que se reconocen que las expresiones vertidas constituyen una intromisión ilegitima en el honor y en la intimidad del actor, no queda determinado que el demandado sea la persona que envió dicho mensaje, por lo que se le absuelve.
Al explicar la Sala los hechos objeto del proceso, expone que en una página web se abrió un foro donde se efectúa un comentario que es enviado por alguien que se hace llamar “Santiago”, el 24 de enero de 2007, a las 11,31 horas.
Y ahora viene lo más curioso juridicamente hablando:
“ … La IP y el e-mail desde el que se realizó el envío eran gestionados por Telefónica España que facilito los datos sobre titularidad del IP y el e-mail correspondiendo el primero a una sociedad limitada y el segundo, el e-mail al demandado …”.
Cabe decir que en la sentencia queda claro que el Ministerio Fiscal era parte en el proceso (por lo previsto en la ley 1/1982, de 5 de mayo) y que no hubo ninguna denuncia o querella previa (lo digo porque los datos de titularidad de la IP no fueron obtenidos en otro proceso anterior y aportados despues a éste), por lo que parece claro que en via civil –al menos asi se deduce de la sentencia-, el actor solicitó ante el Juzgado –y obtuvo sin problemas- los datos sobre la titularidad de la IP desde la que se llevaron a cabo los comentarios, estando vigente la ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
El auto de 12 de abril de 2010 de la AP de Madrid (Sección 28ª), Ponente D. José Zarzuelo Descalzo.
En este auto la respuesta es la contraria a la sentencia ya que se desestima el recurso de apelación interpuesto contra el auto dictado en una Diligencias Preliminares seguidas ante el Juzgado de lo Mercantil nº 9 de Madrid.
Los antecedentes de un caso de propiedad intelectual.
Los hechos resumidamente son los siguientes:
a.- La entidad “HUSTLER EUROPE G.M.B.H.” promovió Diligencias Preliminares contra las mercantiles “TELEFÓNICA DE ESPAÑA, S.A.U.” (TELEFÓNICA) y “JAZZ TELECOM, S.A.U.”, con el objeto de que se requiriera a las citadas entidades para que conservaran determinados datos y desvelasen la identidad de los usuarios a los que prestan servicio de acceso a Internet, de los que se conoce su IP y la fecha y hora de conexión, que utilizando un programa de intercambio de archivos (peer to peer -P2P-), denominado eDonkey2000, ofrecen en su carpeta compartida archivos que contienen obras cinematográficas cuya explotación en España corresponde en exclusiva a la peticionaria, de modo que aquéllos, primero reproducen en sus ordenadores las películas y, luego, las ofrecen a cualquiera que esté conectado a una red P2P, con infracción de los derechos de propiedad intelectual.
2.- La instante ante la constatación de que determinados usuarios del programa de intercambio de archivos eDonkey2000 estaban cometiendo actos que vulneraban los derechos de reproducción y comunicación al público sobre las obras cinematográficas cuyos derechos ostenta, pretende que los prestadores de servicio de Internet antes reseñados, le faciliten su identidad, a partir de la IP, día y hora de conexión, conocida por la solicitante, para promover el posterior juicio ejercitando las correspondientes acciones contra los infractores.
3.- La resolución recurrida deniega la práctica de las diligencias preliminares al no cumplirse la premisa exigida legalmente -art. 256.1.7º de la LEC – de que los actos de infracción se realicen a escala comercial, al manifestarse en la propia solicitud que las IP se corresponderían con personas que habrían procedido a reproducciones no autorizadas de obras protegidas para un uso personal y no para su cesión a terceros a cambio de un beneficio, y al entender que la cesión de datos requerida sólo puede tener lugar con fines de detección, investigación y enjuiciamiento de delitos graves, en aplicación del artículo 1 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, por la que se transpone la Directiva 2006/24/ CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/ CE, del Parlamento Europeo y del Consejo, de 12 de julio, interpretación que es conforme al derecho comunitario en atención a la sentencia del Tribunal de Justicia de las Comunidades Europeas de 29 de enero de 2008, y en coherencia con lo que disponía en su artículo 12.3 la Ley 34/2002 de Servicios de la sociedad de la información y comercio electrónico.
4.- Contra la citada resolución se alza la entidad “HUSTLER EUROPE G.M.B.H.” que insiste en la procedencia de la práctica de las diligencias solicitadas con amparo en el artículo 256.1.7º de la Ley de Enjuiciamiento Civil y en los artículos 18 y concordantes del TRLPI, vulnerando la denegación su derecho a la tutela judicial efectiva y su derecho a la obtención de la prueba útil, necesaria y pertinente de la existencia de infracciones civiles de derechos de autor.
La sala desgrana sus argumentos.
Idéntica pretensión a la suscitada en el marco del presente recurso de apelación –nos dice la Sala- ya ha sido recientemente resuelta por este tribunal mediante auto dictado con fecha de 19 de febrero de 2010 en el que se indicaba que el artículo 1 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, antes citada, establece:
“Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal.
Añadiendo el artículo 6 que:
“Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial”.
La claridad del precepto no puede ofrecer el menor atisbo de duda sobre la imposibilidad de requerir a las entidades prestadoras del servicio de Internet para que cedan sus datos para finalidades distintas de las previstas en la ley, en este caso para promover un litigio civil sobre infracciones de propiedad intelectual.
Dicha regulación endurece incluso el marco normativo precedente constituido por el artículo 12 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, derogado por la Ley 25/2007, de 18 de octubre de 2007, en cuyos apartado 2 y 3 se establecía:
“2.- Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios a que se refiere este artículo no podrán utilizar los datos retenidos para fines distintos de los indicados en el apartado siguiente u otros que estén permitidos por la Ley.
3.- Los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran”.
La sombra del caso promusicae.
Precisamente en el marco normativo, más amplio, definido por el artículo 12 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, el Tribunal de Justicia de las Comunidades Europeas en su sentencia de fecha 29 de enero de 2008, en respuesta a una cuestión prejudicial planteada por el Juzgado de lo Mercantil nº 5 de Madrid, en un litigio similar en el que el titular de determinados derechos de propiedad intelectual trataba de obtener del prestador del servicio de Internet la identificación de los usuarios de determinado programa de intercambio de archivos musicales para promover la correspondiente demanda, señaló:
“Las Directivas 2000/31/ CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior (Directiva sobre comercio electrónico); 2001/29/ CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información; 2004/48/ CE del Parlamento Europeo y del Consejo de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual; y 2005/58/ CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), no obligan a los Estados miembros a imponer, en una situación como la del asunto principal, el deber de comunicar datos personales con objeto de garantizar la protección efectiva de los derechos de autor en el marco de un procedimiento civil. Sin embargo, el Derecho comunitario exige que dichos Estados miembros, a la hora de adaptar su ordenamiento jurídico interno a estas Directivas, procuren basarse en una interpretación de éstas que garantice un justo equilibrio entre los distintos derechos fundamentales protegidos por el ordenamiento jurídico comunitario. A continuación, en el momento de aplicar las medidas de adaptación del ordenamiento jurídico interno a dichas Directivas, corresponde a las autoridades y a los órganos jurisdiccionales de los Estados miembros no solo interpretar su Derecho nacional de conformidad con estas mismas Directivas, sino también no basarse en una interpretación de éstas que entre en conflicto con dichos derechos fundamentales o con los demás principios generales del Derecho comunitario, como el principio de proporcionalidad”.
Y en el mismo sentido se resuelve en el ulterior auto del mismo Tribunal de 19 de febrero de 2009.
Precisado lo anterior, como es obvio, la protección de la intimidad, de la confidencialidad de las comunicaciones y de los datos de tráfico asociadas a ellas en el ámbito de las comunicaciones electrónicas no es absoluta y es el legislador, valorando la posible colisión con otros derechos, el que establece las excepciones que justifican la comunicación de los datos retenidos, excepciones entre las que, actualmente, no se encuentra facilitar los datos a los jueces y tribunales para que un perjudicado promueva un procedimiento civil por infracción de los derechos de propiedad intelectual.
La culpa … del legislador.
Es el legislador, en ejercicio legítimo de sus exclusivas competencias, el que ha valorado y calibrado los distintos derechos e intereses en juego.
Así, en caso de conflicto entre los derechos derivados de la propiedad intelectual y su protección, de un lado, y, de otro, los derechos la intimidad personal, la confidencialidad de las comunicaciones y de los datos de tráfico asociadas a ellas en el ámbito de las comunicaciones electrónicas, éstos prevalecen salvo que su cesión se pretenda para la detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
La base juridica, la ley 25/2007.
En definitiva, de la lectura de los artículos 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, se deduce con claridad que los datos retenidos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información sólo pueden utilizarse para la detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales, quedando excluida la cesión para promover un procedimiento civil por infracción de los derechos de propiedad intelectual, al entender el legislador que, en este caso, deben prevalecer otros derechos dignos de mayor protección, sin que, en consecuencia pueda invocarse la denegación de la tutela judicial efectiva ni la infracción del artículo 24 de la Constitución y menos el alegado derecho a la obtención de pruebas útiles, necesarias y pertinentes de la existencia de infracciones civiles de derechos de autor, de las que según el propio instante ya hay vestigios suficientes hasta el punto de que, precisamente, son éstos los que justifican la petición de diligencias preliminares con la finalidad esencial no de obtener tales pruebas sino de identificar a los infractores.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 16th, 2010 | Author: admin | Filed under: Administración pública, Intimidad, Protección de datos de carácter personal, deber de secreto, fichero no automatizado | No Comments »
En la SAN 10-02-2010 (Ponente Sra. Mª Luz Lourdes Sanz Calvo) se analiza un caso sobre la vulneración del deber de guardar secreto, proceso en el que se plantean diversas cuestiones de sumo interés, como la distinción entre el derecho a la intimidad y la protección de datos, el ámbito limitado de aplicación de la LOPD a los ficheros no automatizados o el principio de calidad y su relación con la publicación de datos sobre infracciones penales por una Administración Pública.
Esta sentencia resuelve la impugnación de una resolución de la AGPD (AP/00064/2007), que declaró que una Consejería de Seguridad Ciudadana habia infringido el deber de secreto (artículo 10 de la LOPD y 44.3.g, infracción muy grave) al haber vulnerado el deber de secreto sobre los datos relacionados con la vida sexual del denunciante, a la sazón Policia Local de profesión.
Los antecedentes.
En el año 2005 se publicó en el Boletín Oficial de la ciudad de Melilla (BOME) y por la Consejería de Seguridad Ciudadana de la ciudad autónoma de Melilla, una resolución relativa a la “notificación de resolución de expediente disciplinario” referida a un Policía Local que resultaba accesible a través de internet.
Esta resolución señalaba entre otros aspectos, que se condenaba al expedientado como autor de un delito de abuso sexual con prevalimiento a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo durante el tiempo de la condena, destacando que el denunciante (el Policia Local) no habia otorgado consentimiento para que dicha comunicación se llevara a cabo, comprobando la AGPD que se podía acceder al contenido íntegro de la resolución mediante el buscador Google.
El debate juridico.
Ya desde el inicio de la sentencia quedan fijadas las visiones antagónicas entre el responsable del fichero o tratamiento (que es quien recurre la resolución) y la AGPD.
La Consejeria alega resumidamente que:
a.- La notificación practicada finalmente en el BOME (que acordó la separación del servicio del denunciante), se intentó llevar a cabo antes personalmente en aplicación del artículo 59.5 de la LRJPAC, pero al intentarse y no poder ser practicada, se llevó a cabo por medio de anuncios en el Boletín Oficial de la Comunidad Autónoma.
b.- La notificación se materializa por la publicación prevista en el artículo 60 de la LRJPAC, y en concreto el 60.2 conteniendo “los mismos elementos que el punto 2 del artículo 58 exige respecto de las notificaciones”, es decir, publicando de modo íntegro la misma.
c.- La Consejería manifesta que no apreció motivo alguno para aplicar un extracto de la resolución en el BOME, ya que del contenido de la resolución íntegra no se vulnera ningún derecho o interés legítimo, ya que los hechos que originan la incoación del expediente forman parte de una resolución judicial firme y publica, y además han sido objeto de un dilatado tratamiento por parte de los medios de comunicación y difusión pública de la ciudad de Melilla, que constan en las hemerotecas (como primer añadido mio, se desconoce la jurisprudencia fijada en la STC 292/2000, que distingue entre el derecho a la intimidad y el derecho la protección de datos, en su FD6).
Por contra, la AGPD expone lo siguiente:
a.- La Consejería quería notificar la resolución del expediente disciplinario al denunciante de forma eficaz y al intentarlo y no poder ser practicada, se efectuó a través del BOME al amparo del artículo 59.5 de la LRJPAC. Hasta aqui bien.
b.- La Consejería (y ahora empiezan los reproches jurídicos) se extralimitó al publicar datos relacionados con infracciones penales al trasladar al BOME y permitir el acceso generalizado a la referencia que aparece en dicha resolución sobre la sentencia condenatoria penal del denunciante, dando a conocer un delito (abuso sexual) y la pena impuesta, vulnerándose el derecho del Policia Local a que sus datos contenidos en dicha sentencia penal no se divulgaran.
c.- La finalidad pretendida con la notificación podría haberse conseguido, sin aludir directamente a la sentencia y a la condena y a su motivo (la Consejería podía haber omitido el detalle de los hechos por los que fue condenado, o podría haber mencionado que fue condenado por un delito doloso, o podría haberse publicado una notificación en el BOME de forma extractada sin mencionar dichos aspectos), pero no lo hizo, posibilitando así el acceso a dichos datos por multitud de personas a través de los buscadores en las páginas de Internet.
d.- La AGPD reitera que las sentencias no son fuente de acceso al público y además hace referencia al principio de pertinencia en el tratamiento de los datos de carácter personal (artículo 4.1 LOPD), concluyendo que se ha producido una vulneración del deber de secreto al dar a conocer o divulgar el delito y la pena impuesta al denunciante, cuando pudo haberse omitido dicha circunstancia en la notificación realizada.
¿Que hizo el denunciante para tutelar sus derechos?
El Policía Local, aparte de interponer una denuncia ante la AGPD (que es la que declara la infracción del deber se secreto, que es recurrida por el responsable del fichero o tratamiento y que da objeto a la sentencia aqui analizada) acude a otras vías en tutela de sus derechos:
a.- recurre en vía contenciosa administrativa la resolución, dictándose sentencia desestimatoria por el Juzgado de lo Contencioso-Administrativo.
b.- también interpuso otra demanda por responsabilidad patrimonial porque consideraba que dicha publicación había lesionado su derecho al honor y le había originado daños morales, recayendo asimismo sentencia desestimatoria del Juzgado de lo Contencioso-Administrativo.
Pero ¿es aplicable la LOPD?
Una primera cuestión que plantea el responsable del fichero (un argumento claramente no atendible como se verá), es que según su punto de vista no es aplicable la LOPD al acto de publicar en el BOME (y posteriormente volcado o reproducido en Internet), una resolución de un expediente sancionador, por cuanto dicha resolución no forma parte de un fichero de la Administración, sino de un expediente administrativo incoado al denunciante por la Ciudad Autónoma que no se encuentra incluido en ningún fichero de la Administración, invocando en apoyo de su tesis la STS de 19 de septiembre de 2008 que estima que los libros de bautismo no pueden considerarse como ficheros en los términos de la LOPD (sentencia esta última polémica donde las haya, salvo en su interesante voto particular).
Para resolver esta cuestión, la SAN hace referencia al art. 3.1 de la Directiva 95/46 CE (las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos de carácter personal, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero) y cita diversas sentencias de la misma sección (SAN de 18 de diciembre de 2006 y SAN de 22 de abril 2009), para concluir que aparece en la propia Directiva una limitación del alcance del régimen de protección cuando se trata de tratamientos de datos no automatizados, siendo preciso que esos datos tratados estén contenidos o destinados a ser incluidos en un fichero, entendiendo por fichero todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (art. 2 .c. de la Directiva).
Continúa diciendo la SAN que esta limitación del alcance del régimen de protección cuando se trata de tratamientos no automatizados, aparece formulada en términos similares en los considerandos 15 y 27 del Preámbulo de la propia Directiva 95/46:
a.- El considerando 15 recoge que los tratamientos que afectan a los datos de carácter personal sólo quedan amparados por la Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata.
b.- Por su parte el considerando 27 del Preámbulo señala, entre otros particulares, que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como al tratamiento manual … que el alcance de esta protección no debe depender de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión … que no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas … que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales.
Concluye la SAN que la exigencia del fichero se conecta con el tratamiento de datos no automatizados (lo que no se aplica al tratamiento de datos automatizados) y que aplicado ese criterio al caso de autos, la conclusión es que la publicación de la resolución en un Boletín oficial volcado en Internet, constituye un tratamiento automatizado de datos de carácter personal que cae bajo el ámbito de aplicación de la LOPD.
No todos los tratamientos de datos personales en soportes no automatizados quedan amparados en la LOPD ¿hasta cuando?
Una cuestión que ha quedado apuntada en el párrafo anterior es que una parte de los tratamientos efectuados sobre datos personales quedan fuera de la protección de la LOPD, refiriendose a ello la sentencia como una “limitación del alcance del régimen de protección cuando se trata de tratamientos no automatizados”, cuestión esta sumamente criticable desde mi punto de vista, aunque tenga soporte legal en la propia directiva 95/46 y sea recogida en todas las sentencias posteriores a la errónea STS 19-09-2008, sala de lo contencioso-administrativo, cuyo fundamento 4 dice:
“ … debemos concluir que los Libros de Bautismo no constituyen ficheros en los claros y específicos términos en que se consideran tales por la LO 15/99 (art. 3.b.), recogiendo igualmente la definición de estos plasmada en el art. 2 de la Directiva 95/46 CE) …”.
Pienso que la tesis acertada pasa por el atinado voto particular del magistrado D. Joaquín Huelin Martínez de Velasco, sobretodo cuando dice:
“ … Habida cuenta del fundamento de la decisión mayoritaria, de la noción comunitaria de fichero de datos personales y de la ordenación canónica de la inscripción bautismal, me pregunto si los libros que contienen los bautismos administrados, con indicación del día, del nombre y apellidos del neófito, así como del lugar y de la fecha de su nacimiento dejan de ser ficheros por la circunstancia de que no estén ordenados alfabéticamente ni por esa última fecha. O, dicho de otra manera, dudo que la ordenación con arreglo a la jornada en que se celebró el sacramento no sea un «criterio determinado» de acceso, impidiendo tildar a estos libros parroquiales de «conjunto estructurado de datos». Reconozco que la búsqueda resulta más fácil cuanto mayor sea el número de parámetros disponibles, pero no sé qué grado de dificultad en el examen determina que un conjunto estructurado de datos personales deje de considerarse un fichero a los efectos de someterlo a la legislación comunitaria armonizada. ¿Dónde se fija el umbral? “.
Pero lo que plantea el voto particular con ser importante no es suficiente, pues desde mi punto de vista el concepto de fichero que actualmente se maneja en la legislación sobre protección de datos es sumamente perturbador, pues deja una parte del ciclo de vida de los datos personales fuera del campo de proteccion del derecho fundamental, lo que no es comprensible por diversas razones.
Una es que son diversos los supuestos en que el ordenamiento jurídico anticipa la protección del bien juridico a un momento anterior a su puesta en peligro ¿porque en este campo no se hace lo mismo tratándose de un derecho fundamental, haciendo saltar las señales de alarma cuando concurren a la vez datos personales y tratamiento sin esperar a su incorporación a un fichero?
Además la protección que historicamente ha otorgado la legislación protectora en el campo de los datos de caracter personal, se ha asociado al cumplimiento acumulativo de tres requisitos (datos + tratamiento + fichero), con la particularidad que los dos primeros elementos dejan muy poco margen interpretativo sobre su concurrencia (dato y tratamiento), lo que no sucede con el tercero (para ello solo es preciso leer la STS 19-09-2008 y cotejarla con la SAN, cuando se refiere al fichero o los considerandos 15 y 27 de la directiva o el art. 2 .c. de la Directiva -que esos datos tratados estén contenidos o destinados a ser incluidos en un fichero-.
Mi pregunta es ¿no seria necesario fijar ya el momento de protección de un derecho fundamental en el momento preciso en que el dato personal es tratado, sin tener que esperar -en el caso de los ficheros no automatizados-, a que suceda un hecho posterior como es la incorporación a un fichero, cuyos rasgos definitorios además no están nada claros?. ¿no sería mejor hacer desaparecer el concepto fichero?
Razones para ello no nos faltan, pues si nos fijamos por ejemplo en el tratamiento de datos en el campo de la videovigilancia, vemos que queda dentro del campo de proteccion la simple visión de los datos a través de un monitor, aunque no sean fijados en un disco duro, es decir sin que exista un fichero como tal, pero si datos y tratamiento, con la consecuencia final de eximir al responsable de cumplir con la obligacion de crear y notificar el fichero, pero no del resto de obligaciones (calidad, información, seguridad, etc).
¿Porque no se obliga al responsable que simplemente trata datos sin contenerlos en un fichero a cumplir algunos de los principios del título II de la LOPD -por ejemplo secreto y seguridad-? Incomprensible.
No se discute la legalidad de la publicación en el BOME, pero si su contenido, en otras palabras ¿era necesaria para la finalidad pretendida con la notificación de la resolución, la publicación de datos relativos a la infracción penal?.
Cerramos el paréntesis y dejando a parte las anteriores disquisiciones sobre el concepto de fichero, volvemos a la SAN en el punto en el que el responsable del fichero o tratamiento alega que, si bien con carácter general es suficiente para la notificación de un acto con remitirlo por correo con acuse de recibo o por medio de un agente notificador, en el presente caso el funcionario sancionado (que era miembro de la Policía Local), contaba con “informantes” –asi, literalmente- en el propio cuerpo de policía “que le avisaban de que iba a ir un agente notificador”, por lo que como ese medio no tenía virtualidad, el recurso a la publicación íntegra de la resolución era la única posibilidad con que contaba la actora (artículos 58, 59 y 60 LRJPAC).
La AN ante este argumento dice que no se pone en tela de juicio que la Administración intentara notificar la resolución sancionadora en reiteradas ocasiones personalmente al denunciante y que al no conseguirse dicha notificación personal, procediera a la publicación de la resolución en el BOME (al amparo del artículo 59.5 LRJPAC), es decir no objeta que acudiera al BOME para realizar la citada notificación, sino que la cuestión que se suscita es distinta: ¿la publicación de la resolución sancionadora en su integridad en el BOME, vulneró o no la normativa de protección de datos y en concreto el deber de secreto recogido en el artículo 10 LOPD?.
En definitiva la pregunta que se hace la AN es si era necesaria para cumplir la finalidad pretendida (la notificación de la resolución), la publicación de datos relativos a la infracción penal por la que fue condenado el denunciante, tales como el tipo de delito apreciado (de abuso sexual) y la pena impuesta por la sentencia penal.
Para examinar dicha cuestión hay que tomar en consideración que la resolución sancionadora objeto de notificación, imponía la separación del servicio del Sargento de la Policía Local, por la comisión de una infracción muy grave tipificada en el artículo 27.3 de la LO 2/1986, consistente en haber realizado una conducta constitutiva de delito doloso. La Audiencia Provincial de Málaga enjuició la citada conducta y dictó sentencia absolviendo al Policia Local del delito de agresión sexual y le condenó como autor de un delito de abuso sexual, con prevalimiento, a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo de policía durante el tiempo de la anterior condena. Esta sentencia ganó firmeza al desestimar el Tribunal Supremo el recurso interpuesto contra la misma. Al no haberse podido practicar la notificación personal, pese a los reiterados intentos realizados, es cuando se acudió a la notificación de la citada resolución en el BOME.
¿La clave?: el art. 61 LRJPAC interpretado bajo el paraguas de la LOPD
El artículo 61 LRJPAC dispone que si el órgano competente apreciare que la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer en el plazo que se establezca para conocimiento del contenido íntegro mencionado acto y constancia de tal conocimiento.
Se trata por tanto de una norma especifica frente a aquella de carácter general contenida en el artículo 60.2 en relación con el 58.2, y como tal precepto especial debe prevalecer cuando se puedan lesionar con la publicación del acto derechos o intereses legítimos, como el derecho fundamental a la protección de datos, especialmente cuando la publicación de la resolución a notificar se lleva a cabo en un BOME que se ha volcado en Internet y posibilita el acceso a dichos datos por multitud de personas a través de los buscadores.
La pregunta es ¿era posible conseguir la misma finalidad pero sin publicar los datos personales referidos a la infraccion penal?
Queda claro que la finalidad pretendida con la notificación de la resolución podría haberse obtenido (en este caso concreto) sin mencionar el concreto delito por el que fue condenado el denunciante ni la pena impuesta, o notificándose dicha resolución de forma extractada, argumento de la AN que se apoya en el principio de calidad de datos (art. 4 LOPD).
Por tanto no resultaba necesario incluir la citada información que afecta a aspectos relativos a la comisión de infracciones penales recogidos en sentencia y por ello se ha vulnerado su derecho a que sus datos de carácter personal contenidos en la referida sentencia penal no se divulguen mediante su publicación en el BOME volcado en Internet.
Solución que no es contradictoria –continúa diciendo la AN- con la sentencia de 22 de julio de 2007 del Juzgado de lo contencioso administrativo que desestima el recurso interpuesto por el Policia Local contra el Decreto de Presidencia que le impuso la sanción de separación del servicio, pues dicha sentencia analiza la publicación de la resolución administrativa en toda su extensión pero desde el punto de vista del artículo 18 de la CE en relación con el derecho al honor, la intimidad personal y la propia imagen, pero no con el derecho de protección de datos -que es un derecho fundamental autónomo diferenciado del derecho a la intimidad como se expone en la importante STC 292/2000-.
¿Se protegen los datos de caracter personal si ya son de público conocimiento?
Argumenta tambien la recurrente que la publicación de dichos datos no suponía la revelación de datos personales, por cuanto los datos penales a que se hacía referencia en dicha resolución eran de general conocimiento por el seguimiento que hicieron los medios de comunicación de todo el proceso penal y, por tanto, dicha información penal había dejado de pertenecer al ámbito privado y particular del Policia Local mucho antes de que se publicase la resolución disciplinaria en cuestión.
Al respecto cabe aclarar –dice la AN- que el hecho de que los medios de comunicación (prensa escrita de Melilla, como la aportada con la demanda) en el ejercicio de su derecho de información y al amparo del artículo 20 de la CE, se hicieran eco de los hechos por los que fue condenado penalmente el aqui denunciante, no priva a los datos en cuestión de su condición de datos de carácter personal.
La AN hace suya la conocida por reiterada doctrina del TC en su STC 292/2000, sobre el derecho a la protección de datos y el derecho a la intimidad, que transcribimos (FD6):
“La función del derecho fundamental a la intimidad del art. 18.1 C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F.J. 8).
En cambio, el derecho fundamental la la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado.
… De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 C.E., sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, F.J. 4), como el derecho al honor, citado expresamente en el art. 18.4 C.E., e igualmente, en expresión bien amplia del propio art. 18.4 C.E., al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.
De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 C.E. otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.
La vulneracion del deber de secreto.
El artículo 10 de la LOPD –continua exponiendo la sentencia- regula de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos personales (artículos 4 a 12), lo que refleja la gran importancia que el legislador atribuye a este principio. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo de acuerdo con lo dispuesto en otros preceptos como por ejemplo el art. 11 (comunicación de datos).
La LOPD traspone el art. 16 de la Directiva 95/46 /CE que lleva como título “Confidencialidad del tratamiento” y dispone que “Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal”.
El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control o disposición sobre sus datos. El repetido deber de secreto en el tratamiento de datos personales se refiere al ámbito estricto del tratamiento de los datos personales, para que el responsable del fichero y, cualquier persona que intervenga en el tratamiento, esté obligado al mantener la confidencialidad de los datos personales.
En este sentido el artículo 10 de la LOPD dispone “El responsable del fichero y quienes intervengan en cualquier fase de tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o, en su caso, con el responsable del mismo”.
El deber de secreto (SSAN, Sec. 1ª, de 14 de septiembre de 2002, 13 de abril de 2005, 18 de julio de 2007) “es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 … deber de sigilo que resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de datos que recoge el artículo 18.4 de la CE … “.
Es decir, el deber de secreto o confidencialidad se infringe desde el momento en que se permite acceder a terceros a los datos en cuestión, sin que exista cobertura para dicho acceso o lo que es igual, para que dichos terceros puedan conocer los mencionados datos o tenerlos a su disposición, como ha sucedido en el caso enjuiciado.
La calificacion juridica de la infracción ¿grave o muy grave?
Constatada la vulneración del deber de secreto, se analiza finalmente su calificación jurídica en atención a la gravedad de los hechos.
La AGPD calificó en su resolución la infracción como muy grave (44.4.g LOPD) al considerar que la vulneración afectaba a datos de carácter personal que hacían referencia a la vida sexual del denunciante (datos especialmente protegidos según el artículo 7.3 LOPD).
En cambio la AN explica que “ … no se puede mantener que la mera mención del delito cometido por un funcionario público prevaliéndose de su condición de agente de la autoridad, suponga una vulneración de los datos de carácter personal referidos a la “vida sexual” en el sentido establecido en el artículo 7.3 de la LOPD , aunque el delito se incardine entre aquellos que afectan a la libertad sexual, puesto que lo relevante en el caso concreto es que se trata de un delito cometido por un funcionario público prevaliéndose de su cargo …”.
El resultado final.
La AN estima el recurso y anula parcialmente la resolucion de la AGPD, pero sólo en el sentido de calificar como grave (en lugar de muy grave) la infracción del deber de secreto.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 11th, 2010 | Author: admin | Filed under: Protección de datos de carácter personal, currículum vitae | No Comments »
Un empleado que trabaja en una empresa de seguridad privada la denuncia ante la AGPD, ya que la empresa ha cedido a una Universidad sus datos personales sin consentimiento.
En el expediente incoado por la AGPD (E/00998/2009), se explica que el trabajador aportó a la empresa de seguridad los datos necesarios para formalizar el habitual proceso de contratación laboral, elaborando aquélla la ficha de personal (con el DNI, el nombre, los apellidos, el domicilio, el teléfono, la fecha de nacimiento, el nombre del padre y de la madre, el teléfono móvil, la dirección de correo electrónico, la fecha de expedición del DNI y la experiencia laboral).
Más tarde la empresa de seguridad en la quetrabaja el denunciante cede sus datos personales a la Universidad, al resultar adjudicataria la empresa de seguridad del concurso de seguridad y vigilancia.
El trabajador ante ello ejerce un derecho de acceso ante la Universidad (que le responde facilitándole su ficha de personal) y además presenta una denuncia ante la AGPD contra la empresa.
La Agencia explica que concurre en este caso una excepción al deber de obtener el consentimiento por parte la empresa a su trabajador para ceder sus datos personales, ya que existe una relación contractual entre la Universidad y la empresa de seguridad para cuyo cumplimiento es necesario que la empresa de seguridad facilite datos personales a la Universidad de los trabajadores que van a prestar sus servicios, y que además concurre otra circunstancia importante y es que la cesión de datos personales está prevista en el contrato entre la Universidad y la empresa de seguridad, ya que en el pliego que regula el concurso (apartado 4.2.) se contempla precisamente la cesión de datos personales:
“Elección y sustitución del personal de seguridad y vigilancia …. La empresa adjudicataria proporcionará, como requisito previo a la prestación del servicio, el currcuílum de los vigilantes nuevos propuestos a fin de poder seleccionar aquellos que considere en mejores condiciones para el desempeño de las funciones. Deberá incluir la relación nominativa –con identificación fotográfica- del personal adscrito a la prestación del servicio. A este respecto la UPV/EHU podrá recabar cuanta información y documentación estime pertinente …”.
La AGPD finalmente archiva la denuncia.
© Ramon Arnó Torrades, 2010, Lleida.
Posted: agosto 11th, 2010 | Author: admin | Filed under: Protección de datos de carácter personal, currículum vitae, deber de secreto | No Comments »
La Guardia Urbana de Barcelona localiza diversa documentación abandonada en la calle, entre la que encuentra unos 100 currículums vitae con datos personales. Algunos de esos documentos (unos 35) incluyen además una ficha de la entrevista personal llevada a cabo entre el candidato y el entrevistador (con anotaciones referidas a la impresión causada y a su disponibilidad).
Tras la denuncia de la Guardia Urbana, la AGPD (PS/00525/2008, R/00474/2009) inicia un proceso sancionador, destacandose que en el momento de los hechos el responsable no disponía de documento de seguridad, lo que añadido a la presencia de los currículums en la calle, lleva a la AGPD a imputarle la infracción de dos deberes, el de seguridad (art. 9 LOPD) y el de secreto (art. 10 LOPD).
Una cuestión interesante que se discute entre el responsable del fichero o tratamiento y la AGPD es en qué momento empieza el cómputo de la prescripción de las infracciones, si debe iniciarse cuándo se produce el vertido de la documentación en la vía publica (argumento del responsable), o bien, tratándose de una infracción continuada, la misma comienza cuándo dicha documentación es depositada en la calle a la vista de terceros y finaliza en el momento en que la Guardia Urbana localiza las carpetas.
La AGPD se decanta por esta segunda tesis ya que se trata de una infracción permanente (citando la SAN 3-12-2008) con lo que la alegación de prescripción del responsable finalmente no prospera.
La AGPD expone además que el responsable debió adoptar las medidas de seguridad necesarias para impedir cualquier recuperación posterior de la documentación, medidas que no fueron tomadas (art. 44.3.h LOPD, infracción grave de seguridad) y que con su conducta, el responsable tambien vulneró el deber de confidencialidad, que tiene como finalidad evitar que quienes están en contacto con los datos personales, realicen filtraciones de los mismos no consentidas por los titulares de los mismos (art. 44.3.g LOPD).
Dado por tanto que el responsable quebrantó dos deberes (seguridad y secreto) y que ambas infracciones son de caracter grave, por aplicación del art. 4.4 del RD 1398/1993 (reglamento de procedimiento de la potestad sancionadora) las dos se subsumen finalmente en una sola (en este caso, infracción del deber de seguridad, art. 9 LOPD).
La sancion que se impone al responsable es de 4000 euros, importe inferior al habitual en estos casos, al haber ponderado la AGPD diversas circunstancias concurrentes que justifican la reducción del importe de la misma (por aplicacion del art. 45.5 LOPD) como son, por una parte, la existencia de un cambio de titularidad en la empresa meses antes del vertido y tambien por el hecho que la empresa estaba en periodo de cambio de sistemas de informacion, uno de cuyos motivos era precisamente, adaptarse a la LOPD.
© Ramon Arnó Torrades, 2010, Lleida
Posted: agosto 11th, 2010 | Author: admin | Filed under: Protección de datos de carácter personal, deber de secreto | No Comments »
Una persona (aquí denunciante) envía un currículum vitae a un hotel (denunciado) mediante el correo electrónico. El hotel recibe el currículum y lo reenvía (sin consentimiento) a dos personas empleadas en la empresa del denunciante (esta es la infracción !). Más tarde el hotel comunica al denunciante que “dicho CV por causas obvias, no es de nuestro interés”.
Esta es la historia explicada en una resolución de la AGPD (PS/00239/2007, R/01233/2007) que termina con una sanción al hotel por un importe de 60.101,21 euros.
El hotel alega ante la AGPD que el currículum fue enviado a título personal por el denunciante y de forma ajena a los mecanismos habituales de recepción de currículums en la empresa, y además que la persona que recibió el currículum en el hotel (que era el responsable de la citada cadena hotelera), era amigo del denunciante (hecho que éste niega), sin que por tanto existiera ninguna solicitud por parte del hotel hacia el denunciante.
Además la empresa hotelera afirma que la dirección a la que se envió el correo electrónico con el currículum era genérica, esto es que no se correspondía con la dirección del departamento de recursos humanos (de hecho se aportan al procedimiento varios anuncios de trabajo con direcciones de correo electrónico especificas para el envío de currículums al hotel) y que existían además unas normas de actuación y unos procedimientos establecidos respecto al tratamiento de solicitudes de empleo o currículos en el hotel.
La AGPD, partiendo del hecho probado que un directivo del hotel reenvió ese correo electrónico con el currículum a dos personas con las que trabajaba el denunciante sin el consentimiento de éste último, declara que esos hechos suponen la infracción del deber de secreto que corresponde al responsable del fichero o tratamiento, se le imputa una infracción grave (art. 44.3.g LOPD, dado que los datos de un currículum vitae son de nivel medio), lo que a la postre conlleva la imposición de la multa a la que hemos hecho referencia.
© Ramon Arnó Torrades, 2010, Lleida.
