13 de Febrero de 2011
Una reestructuración de las dependencias del responsable en la que se deshizo de los documentos con antigüedad mayor de cinco años, y que terminaron por cierto depositados sin destruir en unos contenedores de basura, provoca la apertura de un expediente por la AEPD (AP/00071/2009-R/00312/2010) que termina con la declaración de la infracción del artículo 9 de la LOPD (seguridad) y con un requerimiento para que el responsable adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción. Pero todo empieza unos días antes en las paginas de un periódico que publica una noticia en que exponía que el responsable se deshacía sin control de documentación ‘sensible”.
Los hechos
La junta de personal de un Ayuntamiento presenta denuncia ante la AEPD, dando cuenta de la aparición en la basura de documentación que se corresponde con solicitudes de cursos, minuta de honorarios de los profesores y registros de asistencia de los alumnos.
El responsable se explica
Esa documentación –expone el responsable- junto con otra es archivada en una sala y se conserva durante un periodo mínimo de cinco años, espacio de archivo al que solo accede el personal autorizado, siendo necesario solicitar la llave de la puerta a la secretaria del Director que es quien la custodia, siendo el procedimiento habitual para eliminar la documentación desechable el siguiente:
a.- la destrucción de la misma mediante máquinas destructoras de papel (de hecho se expone en la resolución que el responsable dispone de dos máquinas destructoras de papel ubicadas, una en la zona de administración y otra en la zona de cursos).
b.- posteriormente se depositan en bolsas de basura que se tiran al contenedor de basura de la vía pública por el propio personal del centro.
En referencia al cumplimiento de la LOPD por parte del responsable, se constata por la AEPD que:
1.- constan inscritos los ficheros de carácter personal denominados “Registro de profesorado” y “Registro de Alumnos”.
2.- el responsable se ha dotado del correspondiente documento de seguridad, en cuyo apartado “gestión de soportes y documentos” se recoge como medida de seguridad que “los soportes que vayan a ser desechados, deberán ser previamente triturados en las destructoras instaladas con ese propósito en los distintos departamentos de las dos sedes, de forma que no sea posible el acceso a la información contenida en ellos o su recuperación posterior”.
3.- el personal ha sido informado verbalmente de las obligaciones respecto a los tratamientos de datos de carácter personal, así como del procedimiento de destrucción de documentación tanto por el responsable de informática como por la jefa del servicio de administración.
Pero ¿que se hizo mal?
Como se ha apuntado al inicio, se realizó en las dependencias del responsable una reestructuración que también afectó al archivo en el que se custodiaban los documentos, momento en el que se deshizo de los que tenían una antigüedad superior a cinco años, que al final fueron depositados en los contenedores de basura sin destruir.
La legislación en materia de seguridad
La resolución cita diversa normativa aplicable en materia de seguridad que resumidamente es la siguiente:
a.- El art. 7 del Convenio 108 del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal:
“Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados”.
b.- El art 17.1 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos:
“1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse”.
c.- La LOPD (ley 15/1999) en su artículo 9:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas”.
d.- Finalmente la norma que desarrolla el artículo 9 de la LOPD es el RD 1720/2008, específicamente el capítulo VIII.
En conclusión, la LOPD impone al responsable del fichero la adopción de medidas de seguridad por lo que el mantenimiento de ficheros carentes de las mismas, que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
Los datos tirados a la basura son de nivel medio
Debe tenerse en cuenta que la documentación encontrada procedente de esa entidad (solicitudes de cursos, minuta de honorarios de los profesores y registros de asistencia de los alumnos) entra en la consideración de documento de trabajo, incorporando información derivada de un fichero automatizado, que contiene datos personales ( nombre y apellidos, fecha de nacimiento, DNI, teléfonos, dirección postal y electrónica, datos profesionales, nivel académico, idiomas y cursos realizados) debiéndosele aplicar las medidas de seguridad previstas reglamentaria a este tipo de ficheros.
Estas medidas, en el caso que nos ocupa, deben salvaguardar la confidencialidad y seguridad de los datos de carácter personal contenidos en los ficheros, con datos de carácter personal, tanto de profesores como de alumnos, siendo aquellas que deben ser adoptadas las calificadas de nivel medio, en atención al tipo de información que se maneja, pues contienen un conjunto de datos de datos de carácter personal que ofrecen una definición de las características o de la personalidad que permiten evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, tal como se especifica en el art. 81.2f) del RD 1720/2007, de 21 de diciembre.
En consecuencia, deberían de haberse adaptado, por parte de la entidad denunciada, las medidas suficientes que impidieran el acceso a la información contenida en los mismos, así como su posible recuperación posterior.
La seguridad para ficheros y tratamientos no automatizados de nivel medio
El Reglamento 1720/2007 distingue entre:
a.- las medidas de seguridad aplicables a ficheros y tratamientos automatizados (Capítulo III, Sección 2ª del Título VIII)
b.- las medidas de seguridad aplicables a los ficheros y tratamientos no automatizados (Capítulo IV, Sección 2ª del Titulo VIII).
Dentro de estas últimas, en lo referente al nivel medio, deben tenerse en cuenta las siguientes prescripciones:
1.- Artículo 106. Criterios de archivo. El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.
2.- Artículo 107. Dispositivos de almacenamiento. Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.
3.- Artículo 108. Custodia de los soportes. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada”.
La seguridad es una obligación de resultado, no de medios
De los hechos probados en este procedimiento, se deduce que el responsable del tratamiento debió adoptar las medidas necesarias para impedir cualquier recuperación posterior de la información de carácter personal que contenían dichos documentos. Tales medidas no fueron adoptadas totalmente en el presente caso, como lo acredita el hecho que dicha documentación fue encontrada en la vía pública.
Esta necesidad de especial diligencia en la custodia de la documentación ha sido puesta de relieve por la Audiencia Nacional, en su Sentencia de 11-12-08 (recurso 36/08), fundamento cuarto que apunta:
“Como ha dicho esta Sala en múltiples sentencias … se impone, en consecuencia, una obligación de resultado, consistente en que se adoptan las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros … la recurrente es, por disposición legal una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y se ejecuten con rigor”.
Pero ¿y el deber de secreto?
El artículo 10 de la LOPD establece que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Por tanto el deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento y tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia de 19 de julio de 2001 lo siguiente:
“El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.
En este sentido, también la sentencia de la Audiencia Nacional de fecha 18 de enero de 2002:
a.- El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable –en este caso, la entidad bancaria recurrente- de los datos almacenados –en este caso, los asociados a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo”.
b.- Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto.
c.- Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE.
d.- Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida”.
Un hecho, dos infracciones
Por parte de la entidad denunciada se ha producido una vulneración del deber de secreto y a la vez, de seguridad de los datos y que ha tenido como consecuencia que los datos personales de varios clientes pudieran ser vistos por un tercero.
Nos encontramos así ante la circunstancia que de un mismo hecho derivan dos infracciones, una del deber de seguridad (44.3.h de la LOPD) y otra del deber de secreto (44.3.g de la LOPD) dándose el caso que la comisión de una implica necesariamente la comisión de la otra, ya que si un documento interno que contiene información sobre datos personales sale del ámbito de la entidad responsable de su confidencialidad, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto.
Aqui tenemos la solución
Aplicando el artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora que señala que en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida, procede subsumir ambas infracciones en una.
Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h) de la LOPD y también un incumplimiento del deber de guardar secreto, calificado como grave en el artículo 44.3.g) de la misma norma, procede imputar únicamente la infracción del artículo 9 de la LOPD.
Lo dicho, el responsable es deudor de seguridad
La Audiencia Nacional, que ha reiterado en sus sentencias (25/1/06, 28/06/06 y 25/06/09, entre otras) la deuda de seguridad que incumbe al responsable, se refiere a ella en estos términos:
1.- No basta con la aplicación formal de las medidas de seguridad, pues resulta exigible que aquellas se instauren y pongan en práctica de manera efectiva.
2.- Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.
3.- La recurrente es por disposición legal, una deudora de seguridad en materia de datos y es insuficiente con acreditar que se adoptaron una serie de medidas, pues dicha entidad también es responsable de que las mismas se cumplan y ejecuten con rigor.
© Ramon Arnó, 2011, Lleida.
