Principios jurídicos en la protección de datos: comunicación de datos

Del estudio de los principios anteriores, concretamente el consentimiento del afectado, el deber de secreto y la seguridad, se deduce que el conocimiento o comunicación de los datos de carácter personal a terceras personas no está permitido, a menos que medie la aprobación del propio interesado.

Por tanto, la comunicación de los datos a terceros exige el consentimiento, que deberá prestarse en los mismos términos exigidos por el artículo 6 LOPD, es decir, debe ser primeramente informado y prestarse de forma inequívoca. Debido a esta íntima conexión del consentimiento con la comunicación de datos, en la inmensa mayoría de procedimientos sancionadores iniciados como consecuencia de la comunicación ilegítima de datos, se infringen tanto el artículo 11 como el 6 LOPD.

▪ Art. 11.1: Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

▪ Art. 11.2: El consentimiento exigido en el apartado anterior no será preciso:

a. Cuando la cesión está autorizada en una ley.

b. Cuando se trate de datos recogidos de fuentes accesibles al público.

c. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

▪ Art. 11.3: Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

▪ Art. 11.4: El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

▪ Art. 11.5: Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

▪ Art. 11.6: Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

–       Procedimiento Nº PS/00318/2008. Lo usual en la comunicación de datos a terceros sin el consentimiento del interesado es que haya con fin comercial. Normalmente se trata de pactos o contratos entre cedente y cesionario a cambio de un precio.

En el presente caso, ha quedado acreditado que Toledo y Asociados Gestores Administrativos SL cedió a La Caixa los datos personales de la denunciante, junto con los de otros empleados de la empresa, para una finalidad diferente para la que fueron recabados no habiendo podido justificar que contara con el consentimiento de la denunciante para tal cesión. Las manifestaciones del delegado de personal en la empresa se contradicen con las de la denunciante, no son suficientes para acreditar que la denunciante fue informada y dió su consentimiento de forma inequívoca a la cesión de datos.

La conducta descrita – cesión de datos a terceros-, debería contar con el consentimiento o, en su defecto, con que los datos proviniesen de fuentes accesibles al público o que existiera una Ley que amparara esa cesión. Sin embargo, en el presente caso, no han quedado acreditados tales extremos.

Los fundamentos de la presente resolución vienen a concretar el supuesto que produce la cesión ilegítima: finalidad distinta para la que fueron recabados los datos y falta de consentimiento del afectado.

En relación al consentimiento, reitera lo que ya habíamos apuntado en anteriores resoluciones: la carga de la prueba. La empresa cedente alega que recabó el consentimiento de forma verbal, hecho que desmiente la denunciante. Al no haber prueba material, la AEPD sanciona a la empresa cedente, que no actuó con la debida diligencia en el momento de recabar el consentimiento. También nos hemos referido en anteriores supuestos a que la LOPD no exige que el consentimiento medie por escrito, pero vista la inflexibilidad con la que la Agencia sanciona, la forma escrita del consentimiento se convierte en prácticamente una obligación.

–       Procedimiento Nº PS/00112/2008. En este supuesto, la entidad contra la que se dirigen las actuaciones sí cumplía los requisitos que habilitan para la comunicación de datos.

En el presente caso, ha quedado acreditado que VENTA DIRECTA obtuvo los datos del denunciante mediante un cupón de pedido cumplimentado por él mismo para la compra de productos comercializados por dicha entidad, y que tales datos fueron cedidos a BANKINTER, con la intermediación de la entidad Mediaprisme España, S.L., en virtud de los contratos suscrito por dichas entidades. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso que VENTA DIRECTA contara con el consentimiento del afectado, siendo necesario, además, que dicha entidad acredite la existencia de ese consentimiento. En su defecto, debe acreditarse que concurría alguno de los supuestos contemplados en el artículo 11.2, que eximen al responsable del fichero del citado requisito del consentimiento.

En cuanto a la carga de la prueba, la Sentencia de la Audiencia Nacional de fecha 11/05/2001 afirma que “quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado … siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción”. Así, compete a la entidad que efectúa el tratamiento de datos probar que posee el consentimiento del afectado para la utilización de los datos realizada, en definitiva acreditar que el tratamiento y cesión de datos que realiza resulta acorde con los dictados de la LOPD.

En el presente caso, ha quedado acreditado que VENTA DIRECTA disponía del consentimiento del denunciante para ceder sus datos a terceras empresas del sector financiero, como la entidad BANKINTER, con fines promocionales, por lo que no cabe imputarle la comisión de una infracción del citado artículo 11.1 de la LOPD, que admite estas comunicaciones de datos con el consentimiento del afectado.

Se cumple por tanto el requisito del consentimiento así como la prueba del mismo. Es importante señalar que éste caso el consentimiento fue otorgado de forma tácita, cuestión que no impide su aplicabilidad, siempre que no esté afectando a datos de los calificados como sensibles.

Finalmente, decir que la falta de consentimiento del artículo 11 LOPD se sanciona con multa de 300.000 a 600.000 euros, es decir, una infracción muy grave, frente a la grave que supondría recabar los datos sin el consentimiento del afectado.

En el año 2008, se resolvieron 15 procedimientos sancionadores por infracción el artículo 11 LOPD.

Principios jurídicos en la protección de datos: deber de secreto

El artículo 10 de la LOPD, que regula el deber de secreto en el tratamiento de los datos de carácter personal, es otro de los pilares básicos de la protección de datos. Como ya habíamos apuntado, la protección implica seguridad. Pues bien, en la gran mayoría de los casos, la seguridad implica además secreto.

Durante el tratamiento de ficheros y datos, el deber de secreto tiene que ser una constante cuyo cumplimiento es más una obligación de “quienes intervengan en cualquier fase del tratamiento”, es decir, del personal que trabaja día a día con esos datos, que de los propios responsables o titulares del fichero.

▪ Art. 10: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

–       Procedimiento Nº PS/00374/2008. Los hechos enjuiciados en este procedimiento se desarrollan en el ámbito laboral/sindical, extremadamente propicio a la vulneración del derecho a la protección de datos debido principalmente a las reticencias e intereses contrapuestos que hay en juego (en muchas ocasiones se publican datos sensibles, bien por sindicatos, bien por parte del empresario, como represalia a conductas contrarias a los intereses de cada uno).

El deber de secreto profesional que incumbe a los responsables de los ficheros y a todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su obligación de no revelar ni dar a conocer su contenido, así como “deber de guardarlos”. Continúa dicho artículo añadiendo:“obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste, precisamente, el secreto.

Este deber de sigilo resulta esencial en la sociedad contemporánea, cada vez más compleja, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como el derecho a la protección de los datos personales, que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal Constitucional 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias de la dignidad de la persona.

–       Procedimiento Nº PS/00336/2008. Otro supuesto muy común de vulneración del deber de secreto se produce en las comunicaciones de deudas. En estos casos los acreedores no tienen inconveniente en hacer sabedores de esas deudas, con nombres y apellidos, a personas ajenas a la relación contractual.

Se imputa en el presente expediente a la entidad Urbanística Colaboradora de conservación de la Urbanización “San Miguel”, de Náquera, y subsidiariamente, a la Comunidad de Propietarios Urbanización “San Miguel “de Náquera, el hecho de haber vulnerado el artículo 10 de la LOPD, al publicar en espacio de acceso público no solo con posibilidad de acceso de los propietarios sino de terceros, una relación con 33 deudores…

El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia nº 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

Estas dos resoluciones nos dan las notas básicas sobre las que hay que interpretar el artículo 10 LOPD. Por un lado se trata de un deber, un deber que como hemos dicho incumbe tanto al responsable del fichero como a cualquier persona que intervenga en el proceso de tratamiento. Este deber se configura como una obligación de no hacer, de no revelar el contenido del dato de carácter personal. Por otro lado, estamos ante un derecho del propio interesado o afectado, que dimana del artículo 18 de la CE, derecho que persigue garantizar a la persona un poder de disposición y control sobre sus datos, sobre su uso y destino que impida cualquier atentado contra la dignidad de la persona (su honor, intimidad y propia imagen).

Principios jurídicos en la protección de datos: seguridad de los datos

La seguridad es un elemento fundamental en la protección de datos; sin seguridad no hay protección. En muchos casos, a la hora del tratamiento de datos, la seguridad pasa a un segundo plano debido al común error de pensar que la mera notificación de ficheros a la AEPD y la inclusión de un par de cláusulas informativas en contratos y formularios son suficientes para cumplir la ley. Esto no garantiza ni la seguridad ni la protección, fin último de la LOPD.

▪ Art. 9.1: El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.

▪ Art. 9.2: No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

▪ Art. 9.3: Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

La regulación destinada a preservar la seguridad de los datos establece que las medidas a adoptar por el responsable del fichero o encargado del tratamiento han de ser de índole técnica y organizativa, y la finalidad de las mismas es evitar su alteración, pérdida y acceso no autorizado. El artículo 9.2 viene a establecer las mismas prescripciones pero por vía negativa. En cuanto al 9.3, remite la concreción de esas medidas técnicas y organizativas para datos sensibles a la vía reglamentaria (actualmente el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD). En los procedimientos sancionadores de la AEPD sólo se ha observado infracción el artículo 9.1.

–       Procedimiento Nº PS/00594/2008. Estamos ante un supuesto muy común de infracción del artículo 9.1 LOPD. Se trata del negligente uso de programas P2P (peer to peer, que permiten compartir archivos) que produce la “fuga” de ficheros con datos de carácter personal a través de Internet.

Sintetizando las previsiones legales puede afirmarse que:

a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.

b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.

c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.

d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.

En este supuesto la Agencia podría haber precisado mejor sus fundamentos y aclarar que la concreta medida técnica infringida es el artículo 5 del derogado reglamento de desarrollo de la LORTAD o el artículo 85 del actual reglamento de desarrollo de la LOPD, que viene a establecer que las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Evidentemente, si tenemos acceso al fichero a través de Internet de una forma abierta, sin restricciones, el tipo de acceso no es del modo “local”.

–       Procedimiento Nº PS/00274/2008. Otra situación que suele repetirse es el acceso a datos personales a través de páginas web que no han observado una adecuada política de seguridad. En otras ocasiones, a pesar de contar con medidas de seguridad apropiadas, es la pericia de los “atacantes” (hackers, en el argot informático) la que consigue romper la seguridad. Se trata de supuestos complejos en los que la Agencia ha de valorar las medidas de seguridad de una forma razonable, incluso por debajo del estado actual de la técnica, ya que de lo contrario estaríamos exigiendo a responsables de ficheros y encargados de tratamiento contar con unas medidas costosas y en muchos casos de difícil adopción.

La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber permitido diversas entidades, el acceso a través de Internet a la información de los datos personales y bancarios de sus clientes que obra en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado sentencias en los recursos contenciosos–administrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección Primera, núm. Recurso: 290/2004, de fecha 28 de junio de 2006, en el Fundamento de Derecho Cuarto señala: “Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron a tenor de dicho Artículo 9 de la Ley Orgánica 15/1999, de Protección de Datos, ha establecido la siguiente doctrina (sentencias de 13 de junio de 2002, Reo. 1161/2001, y de 7 de febrero de 2003, Reo. 1182/2003, entre otras):

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.

Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.

Resulta de gran importancia el razonamiento de esta resolución. En la práctica, las empresas se esfuerzan en crear complejos documentos de seguridad que difícilmente pueden llevarse a la práctica. En este sentido, es conveniente ajustar las medidas de seguridad a los mínimos exigidos, con tal de que puedan hacerse efectivas.

Principios jurídicos en la protección de datos: consentimiento del afectado

El primer paso en el tratamiento del dato de carácter personal es el consentimiento del interesado o afectado. Como hemos explicado anteriormente, este consentimiento va intrínsecamente unido al derecho de información. Sin información no podremos hablar de un consentimiento libremente manifestado. Según el TC, ambos elementos, consentimiento e información, forman parte del contenido esencial del derecho a la protección de datos de carácter personal.

El consentimiento es el principio jurídico en la protección de datos que más infracciones sufre y más procedimientos sancionadores provoca.

▪ Art. 6.1: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

▪ Art. 6.2: No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

▪ Art. 6.3: El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

▪ Art. 6.4: En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

El artículo 6 de la LOPD regula por un lado el principio general del consentimiento y por otro sus excepciones. Éstas raramente pueden infringirse por lo que nos centraremos en el consentimiento en sí.

–       Procedimiento Nº PS/00479/2008. Se trata de un procedimiento que en su día tuvo gran repercusión social, al aparecer en numerosos medios de comunicación del país. El procedimiento resuelve sobre un vídeo colgado en el conocido portal YouTube, con imágenes vejatorias y sin el consentimiento (lógicamente) del afectado.

 El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia de 30 de noviembre de 2000, consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…) (F.J. 7 primer párrafo).

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Resulta importante apuntar que, en un principio, éste procedimiento se seguía contra dos personas. Una de ellas quedó fuera del procedimiento al alegar que su router wifi se encontraba desprotegido (sin contraseña) en el momento de los hechos y que, por tanto, cualquiera pudo hacer uso de su conexión a Internet para llevar a cabo la conducta que se enjuicia.

El uso de las conexiones wifi, desprotegidas o no, esta generando un amplio debate ya que actualmente resulta prácticamente imposible demostrar que quien hizo uso de la conexión fue el propio titular de la misma. Es por ello que podemos encontrar tanto resoluciones administrativas de la AEPD como sentencias judiciales siguiendo criterios dispares. En estos casos, la pericia de los abogados unido al general desconocimiento del estado actual de la tecnología por jueces y fiscales pueden llegar a desembocar en un cajón de impunidad sin fondo en el que se archiven multitud de procesos por falta de pruebas. En otras ocasiones, el juzgador hace oídos sordos (empujado por su ignorancia), llegando a prescindir de la presunción de inocencia de una manera descarada.

–       Procedimiento Nº PS/00565/2008. En este procedimiento se examina un supuesto muy frecuente en relación con la falta de consentimiento, como es el de la inclusión de datos personales en repertorios telefónicos sin el consentimiento del afectado.

El tratamiento de datos sin consentimiento de los afectados o sin otra habilitación amparada por la Ley constituye una vulneración del derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7, primer párrafo), “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

Por tanto, corresponde a GUÍA COMERCIAL 2000 acreditar que cuenta con el consentimiento de la afectada para el tratamiento de sus datos personales, máxime cuando ésta niega haberlo otorgado. Sin embargo, en el supuesto examinado, GUÍA COMERCIAL 2000 no acredita disponer del consentimiento de la afectada para el tratamiento de sus datos, resultando, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados plenamente imputable a dicha entidad, que trató los datos de la denunciante sin su consentimiento.

Como podemos observar, la AEPD vuele a remitirse a la misma jurisprudencia del TS. Pero también hace una mención importante a la carga de la prueba, y es que la parte que está siendo objeto del procedimiento sancionador, siguiendo el criterio general en materia probatoria, es la que debe probar los hechos impeditivos, extintivos o excluyentes. Es crucial tener esto en cuenta, puesto que los responsables de ficheros deber tener el máximo cuidado en guardar el documento (u otro sistema) en el que se recabó el consentimiento. Esto, a su vez, nos plantea el interrogante del consentimiento verbal, ya que la ley no exige que este conste por escrito.

–       Procedimiento Nº PS/00507/2008. Otro supuesto que se repite con mucha frecuencia es la inclusión de datos personales en páginas web sin el consentimiento del interesado.

 Para que el tratamiento de los datos del denunciante realizado por CNT resultara conforme con los preceptos de la LOPD, hubiera debido concurrir alguno de los supuestos contemplados en el artículo 6 de la LOPD. Sin embargo, CNT no ha acreditado que el denunciante hubiera prestado el consentimiento para el tratamiento de sus datos, y tampoco se ajusta el presente caso a ninguno de los supuestos exentos de tal consentimiento que recoge el apartado 2 del artículo 6 citado.

El artículo 3 de la LOPD define en su apartado h) como “Consentimiento del interesado” a “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.”

La LOPD no requiere que el consentimiento se preste por escrito o con formalidades determinadas, pero sí exige que el consentimiento de los afectados sea “inequívoco”.

En primer lugar, apuntar que ésta resolución vuelve a hacer referencia a la misma doctrina del TC que en las anteriores; además, se refiere también a la regla general de la carga de la prueba.

Finalmente, constata lo que apuntábamos en la resolución anterior, que la LOPD no requiere que el consentimiento se preste por escrito, con las dificultades que esto puede plantear en la práctica, a la hora de probar que éste fue otorgado.

En el año 2008 la Agencia resolvió 51 procedimientos sancionadores por infracción del artículo 6 LOPD.

Principios jurídicos en la protección de datos: derecho de información en la recogida de los datos

El primer momento de la recogida de los datos requiere el consentimiento del afectado. Para que ese consentimiento sea válido, se hace necesaria una previa información que garantice la libertad, voluntariedad y lo inequívoco del consentimiento prestado.

Se trata de un principio jurídico en la protección de datos de gran importancia, cuya infracción ha propiciado no pocos procedimientos sancionadores.

▪ Art. 5.1: Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

▪ Art. 5.2: Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

▪ Art. 5.3: No será necesaria la información a que se refieren las letras b, c y d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Se trata de preceptos íntimamente unidos, dirigido el segundo de ellos a especificar las formalidades a seguir en el proceso informativo.

–       Procedimiento Nº PS/00201/2008. La resolución recaída en este procedimiento incide en la necesaria conexión entre la obligación de informar y la prestación del consentimiento.La obligación que impone este artículo 5 de la LOPD es, por tanto, la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no el tratamiento, en función de aquélla.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, que delimita el contenido esencial del derecho fundamental a la protección de los datos personales, ha destacado la importancia del derecho de información en la recogida de datos, como un elemento indispensable de este derecho, en los siguientes términos: “De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia”.

Actualmente es difícil encontrar un contrato que vaya a suponer tratamiento de datos personales sin la correspondiente cláusula o coletilla informativa de los derechos del afectado. En este sentido, los procedimientos sancionadores se dirigen principalmente contra la carencia de esta información en páginas web y, sobre todo, en el ámbito de la videovigilancia, campo en el que la información se sustituye por un cartel informativo que debe colocarse en lugar visible y cuyo modelo estándar ha sido publicado por la propia AEPD.

Finalmente, apuntar que la Agencia suele suavizar bastante las sanciones por la infracción de los artículos 5.1 y 5.2, imponiendo multas de 601,01 Euros en la mayoría de los casos, y que han sido muy escasos los procedimientos sancionadores por infracción de estos artículos.

▪ Art. 5.4: Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e del apartado 1 del presente artículo.

▪ Art. 5.5: No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias”.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Se trata de supuestos en los que, dentro de las excepciones al consentimiento que establece la ley, los datos se recaban por otros medios distintos del propio interesado, por ejemplo, de fuentes accesibles al público (las guías telefónicas, aunque también es cierto que antes de la inclusión de los datos en estas guías, el interesado ha tenido que prestar su consentimiento o su no negativa a dicha inclusión).

–       Procedimiento Nº PS/00002/2008. La AEPD, en esta resolución, arroja claridad sobre los supuestos en que deben aplicarse los apartados 4 y 5 del artículo 5 LOPD, remitiéndose incluso a jurisprudencia del TC.

La obligación que impone este artículo 5 es, por tanto, la de informar al afectado en la recogida y tratamiento de los datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no dicho tratamiento, en función de aquella información.

…de otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de estos, pues solo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso seria fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (Art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.

…quiere ello decir que cuando el tratamiento se realice exclusivamente con fines de publicidad y de prospección comercial, y los datos se hayan obtenido de fuentes accesibles al público, bastará con que en cumplimiento de lo dispuesto en el artículo 5.5 de la LOPD, en cada comunicación que se dirija al interesado, se le informe del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Durante el año 2008 la Agencia tan sólo resolvió sobre dos procedimientos sancionadores por infracción del artículo 5.4 y uno sobre el 5.5, en la línea del resto de procedimientos por infracción del derecho a la información. Esto es así porque estamos ante una obligación por parte del responsable del fichero que no plantea ningún problema en su cumplimiento, basta con incorporar en contratos o cualquier tipo de comunicación con el interesado unas cláusulas genéricas al alcance de todo el mundo.

Principios jurídicos en la protección de datos: calidad de los datos

La gran mayoría de procedimientos sancionadores iniciados con ocasión de la infracción de este principio, se refieren al artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

No obstante, en la práctica, se infringe cualquiera de los aspectos referidos a la calidad de los datos.

▪ Art. 4.1: Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

–      Procedimiento Nº PS/00175/2008. Establece la calidad de los datos como un principio básico de la protección de datos.

En el presente caso ha quedado acreditado que las imágenes captadas por la cámara pueden visualizarse en los televisores de los propietarios de la Comunidad de Vecinos, lo que supone un tratamiento no adecuado, pertinente y excesivo en relación con la finalidad de la instalación del sistema de videovigilancia por la Comunidad de Propietarios.

En este caso, la Comunidad de Propietarios, ha incurrido en las infracciones graves descritas ya que la calidad de datos y el consentimiento para el tratamiento de los datos personales, son principios básicos del derecho fundamental a la protección de datos, recogidos en los artículo 4 y 6 de la LOPD , habiendo tratado datos de las personas que pudieran haber sido captadas por la cámara de videovigilancia sin contar con su consentimiento, y sin que existiese constancia de que el sistema de videovigilancia del denunciado haya sido instalado por una empresa de seguridad, por lo que el tratamiento de los datos no se encuentra habilitado por la LSP.

Vemos que la AEPD habla de la calidad de los datos como principio básico del derecho fundamental a la protección de datos. También es interesante destacar de esta resolución, aunque no entre dentro de los principios jurídicos de la protección de datos, la referencia a la empresa de seguridad instaladora del sistema de videovigilancia. En la actualidad podemos ver que han proliferado estos sistemas de vigilancia, con cámaras que en muchas ocasiones son compradas e instaladas de manera particular y artesanal. La AEPD no va a pasar por alto este tipo de prácticas.

Comentar también el dato de que en el año 2008 sólo se dictaron 2 resoluciones en procedimientos sancionadores por infracción del artículo 4.1 LOPD.

▪ Art. 4.2: Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

–      Procedimiento Nº PS/00173/2008. Se trata de una resolución importantísima en su fundamento puesto que arroja luz a los términos “finalidades incompatibles”.

Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. A esta conclusión parece llegar también el propio Tribunal Constitucional cuando en su Sentencia 292/2000, de 30 de noviembre, establece: “el derecho a consentir la recogida y tratamiento de los datos personales no implica en modo alguno consentir la cesión de tales datos a terceros…Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos supone una nueva posesión y uso que requiere el consentimiento del interesado.”

Entendemos que la APED equipara “finalidades incompatibles” a “finalidades distintas”, por lo que el campo de actuación del artículo 4.2 se extiende considerablemente. Así lo resuelve la propia resolución, que concluye: “En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado”.

Otra cuestión importante sobre esta resolución es que hace uso de la facultades de los apartados 4 y 5 del artículo 45, que permiten modular la sanción en función del grado de intencionalidad y culpabilidad, alegando para ello el sancionado un error informático en el tratamiento de los datos (por otra parte habituales, aunque también es cierto que abren una vía de escape de responsabilidades).

En el año 2008 se dictaron 6 resoluciones en procedimientos sancionadores por infracción del artículo 4.2.

▪ Art. 4.3: Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Art. 4.4: Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

Se trata de dos apartados, el 3 y el 4 del artículo 4 que más bien deberían de ser uno, puesto que la infracción del segundo implica la del anterior.

–      Procedimiento Nº PS/00421/2008. Referencia a la instrucción 1/1995 de la AEPD relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, supuesto muy común de aplicación del artículo 4.3 LOPD.

La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, abunda en este precepto y, en su Norma Primera, punto 1, establece lo siguiente:

“Norma primera. Calidad de los datos objeto de tratamiento.

1. La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” (artículo 29 de la LOPD) “deberá efectuarse solamente cuando concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.

b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.

3. El acreedor o quien actúe por su cuenta e interés deberá asegurarse que concurren todos los requisitos exigidos en el número 1 de esta norma en el momento de notificar los datos adversos al responsable del fichero común.

4. La comunicación del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, deberá efectuarse por el acreedor o quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana.

De la instrucción 1/1995 de la AEPD se resuelve que, en los supuestos de servicios de información sobre solvencia patrimonial y crédito, la “veracidad y situación actual del afectado” que exige el art. 4.3 LOPD se concreta en la existencia de una deuda cierta, vencida y exigible que haya resultado impagada y un requerimiento previo de pago.

Estamos ante otro claro ejemplo donde la Agencia se remite a su propia función normativa para explicar los conceptos acuñados por la ley.

La importancia del artículo 4.3 LOPD y concretamente en los supuestos de solvencia patrimonial y crédito (los más habituales) queda patente en las 186 resoluciones recaídas en procedimientos sancionadores durante el año 2008, por infracción de este artículo.

▪ Art. 4.5: Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.

–      Procedimiento Nº PS/00104/2005. Tenemos que retroceder hasta el año 2006 para encontrar la única resolución por infracción del artículo 4.5 LOPD. No obstante, resulta muy reveladora la interpretación que sobre este precepto realiza la Agencia.

Por tanto, deberá procederse a la cancelación de los datos al haber dejado de ser necesarios para la finalidad que justificó su tratamiento, como sucederá cuando se haya cumplido el contrato que vincula al responsable del tratamiento con su cliente, aunque, por virtud de la propia relación jurídica o por razón de las responsabilidades que pudieran derivarse de la misma, impuestas por una Ley, dicha cancelación deberá producirse mediante la modalidad de bloqueo de los datos de carácter personal sometidos a tratamiento que, salvo en las circunstancias recogidas en el citado artículo 16.3, in fine de la citada LOPD, no implicará automáticamente su borrado físico. Así, la conservación de los datos prevista en el artículo 16.5 de la LOPD está sometida a determinadas condiciones con las que se pretende asegurar y garantizar el derecho del afectado a la protección de sus datos de carácter personal, de modo que el responsable del fichero no puede disponer de tales datos en la misma medida en que podría hacerlo en caso de que no procediera la cancelación de los mismos.

En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación, tal y como prevé el propio artículo 16.3 de la LOPD, al indicar que “cumplido el citado plazo deberá procederse a la supresión”.

A mi parecer, es importantísimo conocer esa diferencia entre cancelación y bloqueo del dato, matiz que queda perfectamente aclarado en los fundamentos de ésta resolución.

El bloqueo del dato implicaría su no utilización para los mismos fines para los que fue recabado, pero sí para el cumplimiento de otras posibles obligaciones, tales como las tributarias o de cooperación con la administración de justicia. Por otra parte, si con el bloqueo se pretende garantizar el derecho del afectado a la protección de datos, sería conveniente completar este proceso con la disociación del dato.

▪ Art. 4.6: Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

Hasta la fecha no ha habido ninguna infracción de este precepto de la que haya tenido conocimiento la AEPD. También es cierto que es difícil pensar en una definición de fichero que no posibilite el ejercicio del derecho de acceso. A mi entender el acceso al dato es consustancial al concepto de fichero.

▪ Art. 4.7: Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

–      Procedimiento Nº PS/00076/2008. Es importante señalar que las infracciones del artículo 4.7 siempre van unidas a la infracción del artículo 6 (consentimiento del afectado). Por tanto en estos procedimientos nos encontramos con dos sanciones; teniendo en cuenta que la infracción del 4.7 está tipificada como muy grave, es de vital importancia la correcta motivación de estas resoluciones por la AEPD.

La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean obtenidos por medios lícitos y de esta forma sea conocida su utilización por los afectados, siendo los responsables de su obtención quienes responden del cumplimiento de esta obligación.

En este caso, la contratación del servicio puesto en cuestión en el presente procedimiento se realizó a través de la entidad Grupo Avanza. Sin embargo, el denunciante ha manifestado que no solicitó servicio alguno y que no firmó ningún contrato al respecto. Lo cual se ratifica porque no coinciden todos los datos que recogieron, ni la firma con la que se recoge en el DNI del denunciante.

Por tanto existen en el expediente elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos, con incumplimiento de la establecido en el citado artículo 4.7 de la LOPD, lo que permite considerar que la conducta imputada a Grupo Avanza ha quedado suficientemente acreditada.

Es a la entidad Grupo Avanza a la que corresponde acreditar que los datos del denunciante se obtuvieron con cumplimiento de las prescripciones legales y su incumplimiento la hace soportar las consecuencias legales al no haber acreditado la procedencia de los datos. Pues bien, en el presente caso, Grupo Avanza no ha acreditado el origen de los datos incorporados a los contratos de suministro, lo que supone una conducta desleal y fraudulenta.

Durante en año 2008 solo se resolvieron 4 expedientes relacionados con la infracción del artículo 4.7. Esto denota por un lado la gravedad y escasa frecuencia de la conducta tipificada y por otro el celo con el que la Agencia resuelve este tipo de infracciones. Hay que tener presente que estas conductas se sancionan con multas de 300.000 a 600.000 euros. Es por ello que en la resolución comentada la agencia haga hincapié en la existencia de “elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos”. Como hemos comentado anteriormente, este tipo de conductas va siempre unido a la infracción del artículo 6 LOPD (consentimiento del afectado). A la falta del citado consentimiento se une una intencionalidad fraudulenta, desleal e ilícita. En este sentido la conducta encajaría más en un tipo penal (de las defraudaciones) que en un ilícito administrativo.

Esta conexión del artículo 4.7 de la LOPD con los tipos penales de hurto o defraudaciones, nos plantea las importantes cuestiones emanadas de la STC 2/2003 sobre el principio del “non bis in idem”, y más teniendo en cuenta la gran diferencia que hay entre la pena asociada a una falta de hurto y una sanción “muy grave” impuesta por la AEPD. Si entendemos la mencionada doctrina como preferencia de la jurisdicción penal sobre la administrativa, en muchos casos la sentencia penal sería mucho más proporcionada y adecuada.

Los principios jurídicos en la protección de datos

El Título II de la LOPD está dedicado a los principios de la protección de datos. Estos principios o criterios tratan de perseguir y asegurar el fin último de la ley, que no es otro que la protección; sin información, consentimiento, seguridad, secreto, etc., no podríamos hablar de datos convenientemente protegidos.

Pues bien, la AEPD, en el ejercicio de sus potestades normativa y sancionadora incide directamente en esa protección, en la salvaguarda de los principios jurídicos en la protección de datos.

La LOPD regula esos principios en plano de igualdad, tan importante es el derecho a la información como el consentimiento del afectado, tan indispensable es la seguridad del dato como el deber de secreto en su tratamiento.

Pero en la práctica, de la propia actividad de la AEPD, se extraen conclusiones que inclinan la balanza sobre unos principios respecto de otros.

Al mismo tiempo las potestades de la Agencia desembocan en una labor interpretativa crucial de esos principios, orientativa y en ocasiones hasta reveladora, de vital importancia en un campo, la protección de datos, que se mueve de manera vertiginosa cogido de la mano de los avances tecnológicos.

En sucesivos artículos vamos a analizar recientes procedimientos sancionadores de la AEPD en busca de esos criterios interpretativos, clasificando el estudio según determinados principios jurídicos en la protección de datos recogidos en la LOPD: calidad de los datos, derecho de información en la recogida de los datos, consentimiento del afectado, seguridad de los datos, deber de secreto y comunicación de datos.

Protección de datos: responsabilidad en el ámbito laboral

Cuando hablamos de protección de datos surgen una serie de novedosos conceptos que con buen acierto y criterio (casi siempre) la propia ley se encarga de definir.

De entre esas nociones, aparece con especial trascendencia el concepto de Responsable del Fichero, persona (física o jurídica, pública o privada) que decide sobre la finalidad, contenido y uso del fichero que contiene datos de carácter personal (fichero y dato de carácter personal también definidos por la LOPD).

Sobre esta persona, el Responsable del Fichero, recae toda la responsabilidad de protección. Él es el que debe velar porque toda la normativa de protección de datos se destine precisamente a eso, a la efectiva protección.

Debe proceder a la notificación de ficheros a la AEPD, observar todo el elenco de medidas técnicas y organizativas destinadas a salvaguardar los datos, plasmarlas en un Documento de Seguridad, informar al interesado o afectado y posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Pero ocurre que en el ámbito empresarial el Responsable del Fichero no efectúa el tratamiento de los datos de que es titular por sí mismo, sino que es su personal laboral (en exclusiva o conjuntamente con el propio Responsable) el que se encarga del tratamiento, del trabajo diario de relacionarse con datos de carácter personal.

Es por ello que la normativa sobre protección de datos (concretamente el Reglamento aprobado por el RD1720/2007 de 21 de diciembre, de desarrollo de la LOPD, art. 88) establece que las medidas recogidas en el Documento de Seguridad serán de obligado cumplimiento para el personal con acceso a los sistemas de información (es decir, a los sistemas, procesos o programas informáticos en los que se encuentran los datos de carácter personal). Y no es otro que el Responsable del Fichero (o el encargado del tratamiento, en su caso), el que debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento (art. 89 RD 1720/2007 de 21 de diciembre de desarrollo de la LOPD).

Por un lado tenemos que el responsable de las infracciones que puedan cometerse en el ámbito de la protección de datos es el Responsable del Fichero; es quien debe recabar, informar y probar (llegado el caso) el consentimiento del afectado en la recogida de datos, implantar las medidas técnicas y organizativas destinadas a su protección, ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.

Por otro lado nos encontramos con que quien debe hacer efectivas, en la práctica, estas medidas, son los propios usuarios del fichero, el personal laboral (o estatutario) del Responsable del Fichero.

De ahí la importancia de que el Responsable del Fichero informe al personal de sus derechos y obligaciones así como de la observancia de todo el conjunto de medidas técnicas y organizativas destinadas a la protección del dato.

Pero se entiende que la actitud del Responsable del Fichero respecto de su personal no ha de ser meramente informativa, cuanto más, va a ser él quien responda de la posible falta de diligencia de sus trabajadores. Es por eso que la normativa de protección de datos habla de “obligado cumplimiento”.

Entonces, ¿cómo puede el empresario hacer efectiva esa obligación?¿está realmente legitimado?¿pueden responder sus trabajadores por el incumplimiento de esas obligaciones?

Es en este punto cuando nos remitimos al poder de dirección del empresario y su principal manifestación, el poder reglamentario, establecido en el Estatuto de los Trabajadores (artículo 20 ET):

1. El trabajador estará obligado a realizar el trabajo convenido bajo la dirección del empresario o persona en quien éste delegue.

2. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.

3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

En relación con el artículo 5 del mismo cuerpo legal; deberes laborales básicos:

a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.

b) Observar las medidas de seguridad e higiene que se adopten.

c) Cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.

La infracción de estos derechos-deberes por parte del trabajador nos lleva a la tercera potestad que el ET otorga al empresario: el poder disciplinario.

En palabras de Alonso García, el poder disciplinario es la facultad del empresario por la que éste puede imponer determinadas sanciones a los trabajadores ligados a él por relación laboral, cuando se den los supuestos determinantes de éstas, dentro de los límites legal o contractualmente señalados y con las garantías formalmente establecidas.

Los supuestos determinantes de las sanciones que el empresario puede imponer al trabajador no son otros que la propia infracción del artículo 20, que se resume en el deber de obediencia, de diligencia y de buena fe.

La sanción más grave que el empresario puede imponer en el ejercicio de su potestad disciplinaria es el despido, que sólo cabría en los incumplimientos por parte del trabajador establecidos en el artículo 54.2 del ET. Aunque es un artículo que debe interpretarse de modo restrictivo, la jurisprudencia ha establecido que en los supuestos de despido es necesario valorar las especiales circunstancias de cada caso, realizando una individualización del trabajador para determinar la sanción.

Podemos resumir que en las infracciones de la normativa sobre protección de datos será el Responsable del Fichero quien responda ante la AEPD, independientemente de que haya sido diligente a la hora de informar (y obligar) a sus trabajadores de sus obligaciones y medidas a adoptar en relación con la protección de datos, pero que si el empresario fue lo suficientemente cuidadoso en su política de protección de datos y la infracción se debe al incumplimiento o desidia del trabajador, aquel podría hacer uso de su potestad sancionadora, sin perjuicio de las posibilidades de repetición del Derecho Civil o incluso de las correspondientes penas que pudieran corresponder si la infracción de la protección de datos ha incluido la comisión de algún ilícito penal.

El boom de la Videovigilancia

En los últimos meses hemos sido testigos de la proliferación en la instalación de cámaras de videovigilancia, tanto en entidades públicas como en establecimientos privados. Desde el ayuntamiento de nuestra localidad hasta la cafetería de la esquina, pasando por todo tipo de comercios, dejan en evidencia una especie de fiebre por las grabaciones en vídeo, en pro (se supone) de la seguridad.

Se ha visto de todo; por ejemplo, una webcam colgada con cinta aislante de la puerta de un bar y un manuscrito justo debajo en el que se lee “en este bar hay cámaras” (y no se refieren a las frigoríficas).

Fruto de esta psicosis por la seguridad, la Agencia Española de Protección de Datos ha visto incrementada su potestad normativa, con la publicación de múltiples informes, la Instrucción 1/2006 sobre Videovigilancia y una guía sobre el mismo tema. Además, se ha pronunciado en multitud de resoluciones derivadas de procedimientos sancionadores, a partir de las cuales ha ido creando doctrina en la materia.

Dejaremos al margen la videovigilancia en lugares públicos por las Fuerzas y Cuerpos de Seguridad del Estado.

Partimos de que tanto la imagen como el sonido son datos de carácter personal: “cualquier información concerniente a personas físicas identificadas o identificables” (artículo 3 de la LOPD). O, con más precisión: “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable” (art. 1.4 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollaban determinados aspectos de la Ley Orgánica 5/1992, ya derogados).

Es obvio que la seguridad es un tema que preocupa a cualquier ciudadano, más todavía cuando hay un negocio que proteger e intereses económicos que salvaguardar. En este contexto surge la mayor parte de las instalaciones de cámaras de videovigilacia.

Lo primero que debiéramos plantearnos, antes de proponernos vigilar y cuidar de nuestros intereses, es si dicha práctica puede hacerse a cualquier precio. Ésta es la primera cuestión, la médula espinal sobre la que debe constituirse la videovigilancia y que no es otra que el respeto al principio de proporcionalidad.

La proporcionalidad, doctrina emanada del Tribunal Constitucional, exige que cualquier medida restrictiva de derechos fundamentales (en este caso la intimidad) ha de ser proporcionada al fin perseguido. En concreto, la videovigilancia ha de ser una medida adecuada, pertinente y no excesiva en relación con la finalidad perseguida y que haya justificado la instalación de cámaras. Además, la proporcionalidad requiere que esos fines no puedan alcanzarse a través de otros medios, menos intrusivos para los derechos fundamentales.

Los principios jurídicos en la protección de datos, concretamente la calidad de los datos, ya nos advierten de la observancia de la proporcionalidad: Art. 4.1 LOPD: “los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Llegados a este punto cabe plantearnos ¿es proporcionada la grabación del sonido junto con la imagen? La respuesta sería que, en la mayoría de casos, no. La sola grabación de imagen sería suficiente para los fines de vigilancia y todo lo demás sería excesivo en relación con la finalidad perseguida.

La segunda cuestión sería la instalación en sí. Es importante tener clara una cosa: la instalación casera en establecimientos abiertos al público de webcams y todo tipo de microcámaras “made in” que se venden por internet es ILEGAL.

La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) establece en su artículo 1.2 que “únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”. Entre esas actividades que sólo puede realizar el personal de seguridad privada autorizado, se encuentran “la instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad” (art. 5.1 LSP). Todas estas previsiones se reiteran en el Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre.

Para rizar el rizo se establece que no vale cualquier empresa de seguridad, sino aquéllas que han obtenido la oportuna autorización administrativa mediante su inscripción en un registro del Ministerio del Interior. Y para finalizar con la burocracia administrativa en la instalación de cámaras de videovigilancia, es preceptivo que el contrato de prestación de servicios de seguridad tenga que comunicarse al Ministerio del Interior antes de la puesta en marcha de los dispositivos de grabación.

Una vez tengamos instaladas nuestras cámaras, porque es adecuado a los fines que perseguimos y hemos seguido los trámites legales en su implantación, es hora de ponerse en marcha con la adecuación a la LOPD.

Como consecuencia de las grabaciones obtenidas por nuestro sistema de videovigilancia tendremos como resultado un fichero y un tratamiento, que hay que comunicar al Registro General de la Agencia Española de Protección de Datos.

Tendremos, además,  que recabar el consentimiento de los afectados (con los famosos carteles informativos de “zona videovigilada”) y facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición; sin olvidarnos del Documento de Seguridad, en el que deben quedar recogidas todas las medidas de índole técnica y organizativa que estamos llevando a cabo para la efectiva protección de los datos de carácter personal.

ACTUALIZACIÓN:
La cosa cambia sustancialmente en lo relativo a la instalación de cámaras de videovigilancia a partir de la entrada en vigor de la Ley 25/2009 de 22 de diciembre (conocida como “Ley Omnibus”), que en su artículo 14 modifica la Ley 23/1992, de 30 de julio, de Seguridad Privada. Desde entonces se permite la instalación de estas cámaras por particulares y empresas aún sin la autorización administrativa del Ministerio del Interior (cuestión muy controvertida). Este es el criterio que sigue la AEPD, plasmado en su informe 650/2009 y confirmado en nota de prensa de 30 de diciembre de 2009.