Archivos de la categoría Protección de Datos

Vodafone condenada a pagar 5.000 Euros por inclusión en ficheros de morosos

Otra Sentencia más, esta vez contra Vodafone, por incluir indebidamente a nuestro cliente en listas de morosos.

El Juez titular del Juzgado de Primera Instancia nº6 de Toledo considera que la empresa no cumplió con los requisitos exigidos para la inclusión de los datos de su cliente en ficheros de morosidad.

En concreto, la deuda no era cierta, ya que fue discutida oportuna y razonablemente por el cliente; además, no se le requirió previamente a la inscripción de sus datos en los ficheros de solvencia patrimonial.

En función de dichas circunstancias y del tiempo durante el que los datos estuvieron expuestos, considera procedente una indemnización de 5.000 Euros, condenando a Vodafone, además, al pago de las costas procesales.

PEPEPHONE DEBERÁ PAGAR 4.000 EUROS MÁS LAS COSTAS DEL JUICIO POR INCLUSIÓN INDEBIDA EN FICHEROS DE MOROSOS

Sentencia morosos Pepephone

Mediante Sentencia de fecha 20 de noviembmre de 2019, Pepehone fue condenada al pago de 4.000 Euros en concepto de indemnización por daño moral más las cosas del juicio, lo que asciende a un total indemnizatorio de alrededor de 5.500 Euros por inclusión indebida de los datos de un cliente en ficheros de morosidad por una presunta deuda de 45,56 Euros.

Sigue leyendo PEPEPHONE DEBERÁ PAGAR 4.000 EUROS MÁS LAS COSTAS DEL JUICIO POR INCLUSIÓN INDEBIDA EN FICHEROS DE MOROSOS

LOPD Safe Harbor: ¿golpe de timón del derecho anglosajón?

Parece irónico afirmar que fuera Estados Unidos un país pionero en cuanto a la protección del derecho a la intimidad (y/o privacidad). Allá por el año 1890, dos jóvenes abogados salidos del horno de Harvard, sentaron (quizá sin saberlo ni quererlo), las bases de la protección de la privacidad en aquél país.

En un artículo llamado “The Right to Privacy”, Samuel D. Warren and Louis D. Brandeis, se hacen eco del vertiginoso desarrollo de la prensa sensacionalista (apoyado por los rápidos avances tecnológicos de entonces, sobre todo en cuanto a la fotografía y la proliferación de las primeras cámaras portátiles) y de las incipientes formas de vulneración del derecho a la intimidad personal.

Este artículo, que tuvo gran influencia en el derecho de EEUU (tengamos en cuenta que el Common Law o Derecho Anglosajón sienta sus bases sobre las sentencias dictadas por los tribunales de justicia), sigue siendo punto de referencia incluso hoy en día. Resulta sorprendente como en uno de sus principales postulados consagra lo que hoy podríamos llamar el pilar básico de la legislación sobre protección de datos en nuestro país (y en toda Europa): el principio del consentimiento. El artículo de 1890 rezaba algo así: “el derecho a la intimidad cede ante el consentimiento del individuo”.

Con el paso de los años y los vertiginosos avances tecnológicos, el viejo continente tomó consciencia con antelación de la necesidad de regular de manera minuciosa el derecho a la intimidad, cuyo punto culminante (tras diversos avatares legislativos), podríamos establecerlo en la Directiva 95/46/CE, fuente del actual derecho sobre protección de datos de carácter personal en toda Europa. Mientras tanto EEUU se estancaba, carente de normas que han sido paliadas con una regulación sectorial.

En este contexto nace SAFE HARBOR, con el fin de crear un marco seguro en cuanto al tratamiento de datos personales en dos sistemas de derecho tan dispares. Aún así, hacer hincapié en que EEUU no es un “país seguro” (según la Comisón Europea), en cuanto a las transferencias internacionales de datos, sino que serán seguras determinadas entidades o empresas de ese país cuando estén adheridas a los principios de puerto seguro (SAFE HARBOR).

SAFE HARBOR no es más que la aplicación de nuestros principios jurídicos de la protección de datos a determinadas entidades (normalmente empresas) de EEUU, que voluntariamente se adhieren a sus postulados.

De esta manera para que las empresas norteamericanas puedan adherirse al puerto seguro, deben cumplir con 7 principios:

  • Notice”. Deber de información (o notificación). Las entidades adheridas a Safe Harbor deben informar a los interesados de las finalidades para las cuales han sido recabados sus datos así como de la identificación del Responsable del Fichero, a efectos de poder ejercitar los derechos ARCO. Este principio se encuentra recogido en el artículo 5 de nuestra Ley Orgánica de Protección de Datos de Carácter Personal.
  • Choice”. Corresponde al interesado o afectado el poder decidir acerca de la finalidad y destino de sus datos de carácter personal. Este postulado se corresponde con nuestro consagrado principio del consentimiento del afectado o interesado. (Art. 6 LOPD).
  • Transfers to Third Parties”. Según este principio, sólo será posible la transferencia de datos cuando las entidades o países destinatarios estén suscritos al acuerdo Safe Harbor o seán países miembros de la Unión Europea (sometidos a la Directiva 95/46/CE). Sería algo equivalente al Título V de nuestra Ley Orgánica de Protección de Datos, en relación con los artículos 9 y 12. Se entiende que estas transferencias están sometidas al principio anterior (consentimiento o poder de decisión).
  • Access”. No serviría de nada la información facilitada por el primero de los principios Safe Harbor si el interesado no pudiera hacer efectivos sus derechos. Nos encontramos ante los derechos-obligación recogidos en el Título III de la Ley Orgánica de Protección de Datos, los consabidos derechos ARCO (acceso, rectificación, cancelación y oposición).
  • Security”. Se corresponde plenamente con el artículo 9 de nuestra LOPD, el principio de seguridad de los datos: “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”. La única cuestión que plantea Safe Harbor en relación con nuestra LOPD, es que el primero habla de “precauciones razonables”, pareciendo dejar al libre albedrío del Responsable del Fichero, las medidas a adoptar.
  • Data integrity”. El importantísimo principio de “Calidad de los datos” acuñado por la Directiva 95/46/CE y recogido con precisión en nuestra LOPD, pasa a formar parte de los requisitos de Safe Harbor, aunque no con toda su extensión porque, por ejemplo, no se incluye aquí lo relativo a la cancelación de los datos y su posible conservación.
  • Enforcement”. Este principio se refiere a la concreta aplicación o ejecución de todo lo que conlleva Safe Harbour. Es un principio controvertido por su ambigüedad, que dispone que para garantizar el cumplimiento de los postulados de puerto seguro, deben articularse mecanismos independientes de resolución de conflictos y de verificación del cumplimiento de los principios Safe Harbor, con potestad para sancionar, en su caso. En España, estas competencias son asumidas por la Agencia Española de Protección de Datos. En cuanto a Safe Harbor, ese mecanismo de resolución de conflictos brilla por su ausencia.

CRÍTICAS.

En abril de 2004 la Comisión Europea de Justicia elaboró un minucioso estudio sobre el estado de la aplicación de Safe Harbor en EEUU. Como resultado, se encontraron importantes deficiencias que, en la práctica, ocasionaban que los principios de puerto seguro quedaran en papel mojado, en una ilusión optimista que distaba mucho de la realidad. Las graves deficiencias encontradas fueron las siguientes:

  • En cuanto al deber de información, se encontraron importantes dificultades por la falta de transparencia y por la inteligibilidad de la información proporcionada. Las políticas de privacidad eran farragosas y de difícil comprensión, y con demasiada frecuencia no proporcionaban una visión sobre las actividades a las que se refería el tratamiento de datos
  • No se hacía referencia al principio básico del consentimiento, entendiendo la Comisión Europea que este es un derecho crucial, a tener un control mínimo sobre el tratamiento de los datos personales, de los afectados o interesados.
  • Respecto a las transferencias a terceros, el concepto de “tercero” no siempre quedaba definido (socio, filial, miembro de grupo de empresas, etc.) estando ausente en muchos casos el compromiso de ese tercero de cumplir con las prescripciones de Safe Harbor. El estudio hace una muy importante reflexión sobre la aplicación de este principio: “la flexibilidad que ofrece este principio se podría utilizar para eludir la legislación de la UE”.
  • El principio del acceso tendía a estar muy difuminado en la práctica, ofreciendo las empresas simplemente una información o dirección de contacto, sin precisar que posibilidades o derechos se nos permitía ejercitar a través de esas direcciones. Otras veces, ni siquiera esa información de contacto estaba presente.
  • La integridad o calidad de los datos tampoco se hacía efectiva correctamente, siendo difícil determinar la adecuación o pertinencia de los datos en relación con las actividades o finalidades previstas.

Para mayor polémica, otros estudios sobre Safe Harbor han dado como resultado un escandaloso descontrol en cuanto a las empresas adheridas a este marco: listado desfasado de empresas (donde aparecen entidades que ya no existen o que han quedado fuera de Safe Harbor), empresas incluidas en la relación de entidades adheridas pero que carecen de política de privacidad y, lo más preocupante, la mayoría de empresas adheridas no cumplía con el séptimo principio (o lo hacían impracticable), relativo al mecanismo de resolución de controversias.

Principios jurídicos en la protección de datos: comunicación de datos

Del estudio de los principios anteriores, concretamente el consentimiento del afectado, el deber de secreto y la seguridad, se deduce que el conocimiento o comunicación de los datos de carácter personal a terceras personas no está permitido, a menos que medie la aprobación del propio interesado.

Por tanto, la comunicación de los datos a terceros exige el consentimiento, que deberá prestarse en los mismos términos exigidos por el artículo 6 LOPD, es decir, debe ser primeramente informado y prestarse de forma inequívoca. Debido a esta íntima conexión del consentimiento con la comunicación de datos, en la inmensa mayoría de procedimientos sancionadores iniciados como consecuencia de la comunicación ilegítima de datos, se infringen tanto el artículo 11 como el 6 LOPD.

▪ Art. 11.1: Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

▪ Art. 11.2: El consentimiento exigido en el apartado anterior no será preciso:

a. Cuando la cesión está autorizada en una ley.

b. Cuando se trate de datos recogidos de fuentes accesibles al público.

c. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

▪ Art. 11.3: Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

▪ Art. 11.4: El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

▪ Art. 11.5: Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

▪ Art. 11.6: Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

–       Procedimiento Nº PS/00318/2008. Lo usual en la comunicación de datos a terceros sin el consentimiento del interesado es que haya con fin comercial. Normalmente se trata de pactos o contratos entre cedente y cesionario a cambio de un precio.

En el presente caso, ha quedado acreditado que Toledo y Asociados Gestores Administrativos SL cedió a La Caixa los datos personales de la denunciante, junto con los de otros empleados de la empresa, para una finalidad diferente para la que fueron recabados no habiendo podido justificar que contara con el consentimiento de la denunciante para tal cesión. Las manifestaciones del delegado de personal en la empresa se contradicen con las de la denunciante, no son suficientes para acreditar que la denunciante fue informada y dió su consentimiento de forma inequívoca a la cesión de datos.

La conducta descrita – cesión de datos a terceros-, debería contar con el consentimiento o, en su defecto, con que los datos proviniesen de fuentes accesibles al público o que existiera una Ley que amparara esa cesión. Sin embargo, en el presente caso, no han quedado acreditados tales extremos.

Los fundamentos de la presente resolución vienen a concretar el supuesto que produce la cesión ilegítima: finalidad distinta para la que fueron recabados los datos y falta de consentimiento del afectado.

En relación al consentimiento, reitera lo que ya habíamos apuntado en anteriores resoluciones: la carga de la prueba. La empresa cedente alega que recabó el consentimiento de forma verbal, hecho que desmiente la denunciante. Al no haber prueba material, la AEPD sanciona a la empresa cedente, que no actuó con la debida diligencia en el momento de recabar el consentimiento. También nos hemos referido en anteriores supuestos a que la LOPD no exige que el consentimiento medie por escrito, pero vista la inflexibilidad con la que la Agencia sanciona, la forma escrita del consentimiento se convierte en prácticamente una obligación.

–       Procedimiento Nº PS/00112/2008. En este supuesto, la entidad contra la que se dirigen las actuaciones sí cumplía los requisitos que habilitan para la comunicación de datos.

En el presente caso, ha quedado acreditado que VENTA DIRECTA obtuvo los datos del denunciante mediante un cupón de pedido cumplimentado por él mismo para la compra de productos comercializados por dicha entidad, y que tales datos fueron cedidos a BANKINTER, con la intermediación de la entidad Mediaprisme España, S.L., en virtud de los contratos suscrito por dichas entidades. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso que VENTA DIRECTA contara con el consentimiento del afectado, siendo necesario, además, que dicha entidad acredite la existencia de ese consentimiento. En su defecto, debe acreditarse que concurría alguno de los supuestos contemplados en el artículo 11.2, que eximen al responsable del fichero del citado requisito del consentimiento.

En cuanto a la carga de la prueba, la Sentencia de la Audiencia Nacional de fecha 11/05/2001 afirma que “quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado … siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción”. Así, compete a la entidad que efectúa el tratamiento de datos probar que posee el consentimiento del afectado para la utilización de los datos realizada, en definitiva acreditar que el tratamiento y cesión de datos que realiza resulta acorde con los dictados de la LOPD.

En el presente caso, ha quedado acreditado que VENTA DIRECTA disponía del consentimiento del denunciante para ceder sus datos a terceras empresas del sector financiero, como la entidad BANKINTER, con fines promocionales, por lo que no cabe imputarle la comisión de una infracción del citado artículo 11.1 de la LOPD, que admite estas comunicaciones de datos con el consentimiento del afectado.

Se cumple por tanto el requisito del consentimiento así como la prueba del mismo. Es importante señalar que éste caso el consentimiento fue otorgado de forma tácita, cuestión que no impide su aplicabilidad, siempre que no esté afectando a datos de los calificados como sensibles.

Finalmente, decir que la falta de consentimiento del artículo 11 LOPD se sanciona con multa de 300.000 a 600.000 euros, es decir, una infracción muy grave, frente a la grave que supondría recabar los datos sin el consentimiento del afectado.

En el año 2008, se resolvieron 15 procedimientos sancionadores por infracción el artículo 11 LOPD.

Principios jurídicos en la protección de datos: deber de secreto

El artículo 10 de la LOPD, que regula el deber de secreto en el tratamiento de los datos de carácter personal, es otro de los pilares básicos de la protección de datos. Como ya habíamos apuntado, la protección implica seguridad. Pues bien, en la gran mayoría de los casos, la seguridad implica además secreto.

Durante el tratamiento de ficheros y datos, el deber de secreto tiene que ser una constante cuyo cumplimiento es más una obligación de “quienes intervengan en cualquier fase del tratamiento”, es decir, del personal que trabaja día a día con esos datos, que de los propios responsables o titulares del fichero.

▪ Art. 10: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

–       Procedimiento Nº PS/00374/2008. Los hechos enjuiciados en este procedimiento se desarrollan en el ámbito laboral/sindical, extremadamente propicio a la vulneración del derecho a la protección de datos debido principalmente a las reticencias e intereses contrapuestos que hay en juego (en muchas ocasiones se publican datos sensibles, bien por sindicatos, bien por parte del empresario, como represalia a conductas contrarias a los intereses de cada uno).

El deber de secreto profesional que incumbe a los responsables de los ficheros y a todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su obligación de no revelar ni dar a conocer su contenido, así como “deber de guardarlos”. Continúa dicho artículo añadiendo:“obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste, precisamente, el secreto.

Este deber de sigilo resulta esencial en la sociedad contemporánea, cada vez más compleja, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como el derecho a la protección de los datos personales, que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia del Tribunal Constitucional 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias de la dignidad de la persona.

–       Procedimiento Nº PS/00336/2008. Otro supuesto muy común de vulneración del deber de secreto se produce en las comunicaciones de deudas. En estos casos los acreedores no tienen inconveniente en hacer sabedores de esas deudas, con nombres y apellidos, a personas ajenas a la relación contractual.

Se imputa en el presente expediente a la entidad Urbanística Colaboradora de conservación de la Urbanización “San Miguel”, de Náquera, y subsidiariamente, a la Comunidad de Propietarios Urbanización “San Miguel “de Náquera, el hecho de haber vulnerado el artículo 10 de la LOPD, al publicar en espacio de acceso público no solo con posibilidad de acceso de los propietarios sino de terceros, una relación con 33 deudores…

El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia nº 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

Estas dos resoluciones nos dan las notas básicas sobre las que hay que interpretar el artículo 10 LOPD. Por un lado se trata de un deber, un deber que como hemos dicho incumbe tanto al responsable del fichero como a cualquier persona que intervenga en el proceso de tratamiento. Este deber se configura como una obligación de no hacer, de no revelar el contenido del dato de carácter personal. Por otro lado, estamos ante un derecho del propio interesado o afectado, que dimana del artículo 18 de la CE, derecho que persigue garantizar a la persona un poder de disposición y control sobre sus datos, sobre su uso y destino que impida cualquier atentado contra la dignidad de la persona (su honor, intimidad y propia imagen).

Principios jurídicos en la protección de datos: seguridad de los datos

La seguridad es un elemento fundamental en la protección de datos; sin seguridad no hay protección. En muchos casos, a la hora del tratamiento de datos, la seguridad pasa a un segundo plano debido al común error de pensar que la mera notificación de ficheros a la AEPD y la inclusión de un par de cláusulas informativas en contratos y formularios son suficientes para cumplir la ley. Esto no garantiza ni la seguridad ni la protección, fin último de la LOPD.

▪ Art. 9.1: El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.

▪ Art. 9.2: No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

▪ Art. 9.3: Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

La regulación destinada a preservar la seguridad de los datos establece que las medidas a adoptar por el responsable del fichero o encargado del tratamiento han de ser de índole técnica y organizativa, y la finalidad de las mismas es evitar su alteración, pérdida y acceso no autorizado. El artículo 9.2 viene a establecer las mismas prescripciones pero por vía negativa. En cuanto al 9.3, remite la concreción de esas medidas técnicas y organizativas para datos sensibles a la vía reglamentaria (actualmente el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD). En los procedimientos sancionadores de la AEPD sólo se ha observado infracción el artículo 9.1.

–       Procedimiento Nº PS/00594/2008. Estamos ante un supuesto muy común de infracción del artículo 9.1 LOPD. Se trata del negligente uso de programas P2P (peer to peer, que permiten compartir archivos) que produce la “fuga” de ficheros con datos de carácter personal a través de Internet.

Sintetizando las previsiones legales puede afirmarse que:

a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.

b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.

c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.

d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.

En este supuesto la Agencia podría haber precisado mejor sus fundamentos y aclarar que la concreta medida técnica infringida es el artículo 5 del derogado reglamento de desarrollo de la LORTAD o el artículo 85 del actual reglamento de desarrollo de la LOPD, que viene a establecer que las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Evidentemente, si tenemos acceso al fichero a través de Internet de una forma abierta, sin restricciones, el tipo de acceso no es del modo “local”.

–       Procedimiento Nº PS/00274/2008. Otra situación que suele repetirse es el acceso a datos personales a través de páginas web que no han observado una adecuada política de seguridad. En otras ocasiones, a pesar de contar con medidas de seguridad apropiadas, es la pericia de los “atacantes” (hackers, en el argot informático) la que consigue romper la seguridad. Se trata de supuestos complejos en los que la Agencia ha de valorar las medidas de seguridad de una forma razonable, incluso por debajo del estado actual de la técnica, ya que de lo contrario estaríamos exigiendo a responsables de ficheros y encargados de tratamiento contar con unas medidas costosas y en muchos casos de difícil adopción.

La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber permitido diversas entidades, el acceso a través de Internet a la información de los datos personales y bancarios de sus clientes que obra en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado sentencias en los recursos contenciosos–administrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección Primera, núm. Recurso: 290/2004, de fecha 28 de junio de 2006, en el Fundamento de Derecho Cuarto señala: “Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron a tenor de dicho Artículo 9 de la Ley Orgánica 15/1999, de Protección de Datos, ha establecido la siguiente doctrina (sentencias de 13 de junio de 2002, Reo. 1161/2001, y de 7 de febrero de 2003, Reo. 1182/2003, entre otras):

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.

Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.

Resulta de gran importancia el razonamiento de esta resolución. En la práctica, las empresas se esfuerzan en crear complejos documentos de seguridad que difícilmente pueden llevarse a la práctica. En este sentido, es conveniente ajustar las medidas de seguridad a los mínimos exigidos, con tal de que puedan hacerse efectivas.

Principios jurídicos en la protección de datos: consentimiento del afectado

El primer paso en el tratamiento del dato de carácter personal es el consentimiento del interesado o afectado. Como hemos explicado anteriormente, este consentimiento va intrínsecamente unido al derecho de información. Sin información no podremos hablar de un consentimiento libremente manifestado. Según el TC, ambos elementos, consentimiento e información, forman parte del contenido esencial del derecho a la protección de datos de carácter personal.

El consentimiento es el principio jurídico en la protección de datos que más infracciones sufre y más procedimientos sancionadores provoca.

▪ Art. 6.1: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

▪ Art. 6.2: No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

▪ Art. 6.3: El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

▪ Art. 6.4: En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

El artículo 6 de la LOPD regula por un lado el principio general del consentimiento y por otro sus excepciones. Éstas raramente pueden infringirse por lo que nos centraremos en el consentimiento en sí.

–       Procedimiento Nº PS/00479/2008. Se trata de un procedimiento que en su día tuvo gran repercusión social, al aparecer en numerosos medios de comunicación del país. El procedimiento resuelve sobre un vídeo colgado en el conocido portal YouTube, con imágenes vejatorias y sin el consentimiento (lógicamente) del afectado.

 El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia de 30 de noviembre de 2000, consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…) (F.J. 7 primer párrafo).

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Resulta importante apuntar que, en un principio, éste procedimiento se seguía contra dos personas. Una de ellas quedó fuera del procedimiento al alegar que su router wifi se encontraba desprotegido (sin contraseña) en el momento de los hechos y que, por tanto, cualquiera pudo hacer uso de su conexión a Internet para llevar a cabo la conducta que se enjuicia.

El uso de las conexiones wifi, desprotegidas o no, esta generando un amplio debate ya que actualmente resulta prácticamente imposible demostrar que quien hizo uso de la conexión fue el propio titular de la misma. Es por ello que podemos encontrar tanto resoluciones administrativas de la AEPD como sentencias judiciales siguiendo criterios dispares. En estos casos, la pericia de los abogados unido al general desconocimiento del estado actual de la tecnología por jueces y fiscales pueden llegar a desembocar en un cajón de impunidad sin fondo en el que se archiven multitud de procesos por falta de pruebas. En otras ocasiones, el juzgador hace oídos sordos (empujado por su ignorancia), llegando a prescindir de la presunción de inocencia de una manera descarada.

–       Procedimiento Nº PS/00565/2008. En este procedimiento se examina un supuesto muy frecuente en relación con la falta de consentimiento, como es el de la inclusión de datos personales en repertorios telefónicos sin el consentimiento del afectado.

El tratamiento de datos sin consentimiento de los afectados o sin otra habilitación amparada por la Ley constituye una vulneración del derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7, primer párrafo), “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

Por tanto, corresponde a GUÍA COMERCIAL 2000 acreditar que cuenta con el consentimiento de la afectada para el tratamiento de sus datos personales, máxime cuando ésta niega haberlo otorgado. Sin embargo, en el supuesto examinado, GUÍA COMERCIAL 2000 no acredita disponer del consentimiento de la afectada para el tratamiento de sus datos, resultando, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados plenamente imputable a dicha entidad, que trató los datos de la denunciante sin su consentimiento.

Como podemos observar, la AEPD vuele a remitirse a la misma jurisprudencia del TS. Pero también hace una mención importante a la carga de la prueba, y es que la parte que está siendo objeto del procedimiento sancionador, siguiendo el criterio general en materia probatoria, es la que debe probar los hechos impeditivos, extintivos o excluyentes. Es crucial tener esto en cuenta, puesto que los responsables de ficheros deber tener el máximo cuidado en guardar el documento (u otro sistema) en el que se recabó el consentimiento. Esto, a su vez, nos plantea el interrogante del consentimiento verbal, ya que la ley no exige que este conste por escrito.

–       Procedimiento Nº PS/00507/2008. Otro supuesto que se repite con mucha frecuencia es la inclusión de datos personales en páginas web sin el consentimiento del interesado.

 Para que el tratamiento de los datos del denunciante realizado por CNT resultara conforme con los preceptos de la LOPD, hubiera debido concurrir alguno de los supuestos contemplados en el artículo 6 de la LOPD. Sin embargo, CNT no ha acreditado que el denunciante hubiera prestado el consentimiento para el tratamiento de sus datos, y tampoco se ajusta el presente caso a ninguno de los supuestos exentos de tal consentimiento que recoge el apartado 2 del artículo 6 citado.

El artículo 3 de la LOPD define en su apartado h) como “Consentimiento del interesado” a “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.”

La LOPD no requiere que el consentimiento se preste por escrito o con formalidades determinadas, pero sí exige que el consentimiento de los afectados sea “inequívoco”.

En primer lugar, apuntar que ésta resolución vuelve a hacer referencia a la misma doctrina del TC que en las anteriores; además, se refiere también a la regla general de la carga de la prueba.

Finalmente, constata lo que apuntábamos en la resolución anterior, que la LOPD no requiere que el consentimiento se preste por escrito, con las dificultades que esto puede plantear en la práctica, a la hora de probar que éste fue otorgado.

En el año 2008 la Agencia resolvió 51 procedimientos sancionadores por infracción del artículo 6 LOPD.

Principios jurídicos en la protección de datos: derecho de información en la recogida de los datos

El primer momento de la recogida de los datos requiere el consentimiento del afectado. Para que ese consentimiento sea válido, se hace necesaria una previa información que garantice la libertad, voluntariedad y lo inequívoco del consentimiento prestado.

Se trata de un principio jurídico en la protección de datos de gran importancia, cuya infracción ha propiciado no pocos procedimientos sancionadores.

▪ Art. 5.1: Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

▪ Art. 5.2: Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

▪ Art. 5.3: No será necesaria la información a que se refieren las letras b, c y d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Se trata de preceptos íntimamente unidos, dirigido el segundo de ellos a especificar las formalidades a seguir en el proceso informativo.

–       Procedimiento Nº PS/00201/2008. La resolución recaída en este procedimiento incide en la necesaria conexión entre la obligación de informar y la prestación del consentimiento.La obligación que impone este artículo 5 de la LOPD es, por tanto, la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no el tratamiento, en función de aquélla.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, que delimita el contenido esencial del derecho fundamental a la protección de los datos personales, ha destacado la importancia del derecho de información en la recogida de datos, como un elemento indispensable de este derecho, en los siguientes términos: “De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia”.

Actualmente es difícil encontrar un contrato que vaya a suponer tratamiento de datos personales sin la correspondiente cláusula o coletilla informativa de los derechos del afectado. En este sentido, los procedimientos sancionadores se dirigen principalmente contra la carencia de esta información en páginas web y, sobre todo, en el ámbito de la videovigilancia, campo en el que la información se sustituye por un cartel informativo que debe colocarse en lugar visible y cuyo modelo estándar ha sido publicado por la propia AEPD.

Finalmente, apuntar que la Agencia suele suavizar bastante las sanciones por la infracción de los artículos 5.1 y 5.2, imponiendo multas de 601,01 Euros en la mayoría de los casos, y que han sido muy escasos los procedimientos sancionadores por infracción de estos artículos.

▪ Art. 5.4: Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e del apartado 1 del presente artículo.

▪ Art. 5.5: No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias”.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Se trata de supuestos en los que, dentro de las excepciones al consentimiento que establece la ley, los datos se recaban por otros medios distintos del propio interesado, por ejemplo, de fuentes accesibles al público (las guías telefónicas, aunque también es cierto que antes de la inclusión de los datos en estas guías, el interesado ha tenido que prestar su consentimiento o su no negativa a dicha inclusión).

–       Procedimiento Nº PS/00002/2008. La AEPD, en esta resolución, arroja claridad sobre los supuestos en que deben aplicarse los apartados 4 y 5 del artículo 5 LOPD, remitiéndose incluso a jurisprudencia del TC.

La obligación que impone este artículo 5 es, por tanto, la de informar al afectado en la recogida y tratamiento de los datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no dicho tratamiento, en función de aquella información.

…de otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de estos, pues solo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso seria fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (Art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.

…quiere ello decir que cuando el tratamiento se realice exclusivamente con fines de publicidad y de prospección comercial, y los datos se hayan obtenido de fuentes accesibles al público, bastará con que en cumplimiento de lo dispuesto en el artículo 5.5 de la LOPD, en cada comunicación que se dirija al interesado, se le informe del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Durante el año 2008 la Agencia tan sólo resolvió sobre dos procedimientos sancionadores por infracción del artículo 5.4 y uno sobre el 5.5, en la línea del resto de procedimientos por infracción del derecho a la información. Esto es así porque estamos ante una obligación por parte del responsable del fichero que no plantea ningún problema en su cumplimiento, basta con incorporar en contratos o cualquier tipo de comunicación con el interesado unas cláusulas genéricas al alcance de todo el mundo.

Principios jurídicos en la protección de datos: calidad de los datos

La gran mayoría de procedimientos sancionadores iniciados con ocasión de la infracción de este principio, se refieren al artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

No obstante, en la práctica, se infringe cualquiera de los aspectos referidos a la calidad de los datos.

▪ Art. 4.1: Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

–      Procedimiento Nº PS/00175/2008. Establece la calidad de los datos como un principio básico de la protección de datos.

En el presente caso ha quedado acreditado que las imágenes captadas por la cámara pueden visualizarse en los televisores de los propietarios de la Comunidad de Vecinos, lo que supone un tratamiento no adecuado, pertinente y excesivo en relación con la finalidad de la instalación del sistema de videovigilancia por la Comunidad de Propietarios.

En este caso, la Comunidad de Propietarios, ha incurrido en las infracciones graves descritas ya que la calidad de datos y el consentimiento para el tratamiento de los datos personales, son principios básicos del derecho fundamental a la protección de datos, recogidos en los artículo 4 y 6 de la LOPD , habiendo tratado datos de las personas que pudieran haber sido captadas por la cámara de videovigilancia sin contar con su consentimiento, y sin que existiese constancia de que el sistema de videovigilancia del denunciado haya sido instalado por una empresa de seguridad, por lo que el tratamiento de los datos no se encuentra habilitado por la LSP.

Vemos que la AEPD habla de la calidad de los datos como principio básico del derecho fundamental a la protección de datos. También es interesante destacar de esta resolución, aunque no entre dentro de los principios jurídicos de la protección de datos, la referencia a la empresa de seguridad instaladora del sistema de videovigilancia. En la actualidad podemos ver que han proliferado estos sistemas de vigilancia, con cámaras que en muchas ocasiones son compradas e instaladas de manera particular y artesanal. La AEPD no va a pasar por alto este tipo de prácticas.

Comentar también el dato de que en el año 2008 sólo se dictaron 2 resoluciones en procedimientos sancionadores por infracción del artículo 4.1 LOPD.

▪ Art. 4.2: Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

–      Procedimiento Nº PS/00173/2008. Se trata de una resolución importantísima en su fundamento puesto que arroja luz a los términos “finalidades incompatibles”.

Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. A esta conclusión parece llegar también el propio Tribunal Constitucional cuando en su Sentencia 292/2000, de 30 de noviembre, establece: “el derecho a consentir la recogida y tratamiento de los datos personales no implica en modo alguno consentir la cesión de tales datos a terceros…Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos supone una nueva posesión y uso que requiere el consentimiento del interesado.”

Entendemos que la APED equipara “finalidades incompatibles” a “finalidades distintas”, por lo que el campo de actuación del artículo 4.2 se extiende considerablemente. Así lo resuelve la propia resolución, que concluye: “En definitiva, los datos no pueden ser tratados para fines distintos a los que motivaron su recogida, pues esto supondría un nuevo uso que requiere el consentimiento del interesado”.

Otra cuestión importante sobre esta resolución es que hace uso de la facultades de los apartados 4 y 5 del artículo 45, que permiten modular la sanción en función del grado de intencionalidad y culpabilidad, alegando para ello el sancionado un error informático en el tratamiento de los datos (por otra parte habituales, aunque también es cierto que abren una vía de escape de responsabilidades).

En el año 2008 se dictaron 6 resoluciones en procedimientos sancionadores por infracción del artículo 4.2.

▪ Art. 4.3: Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Art. 4.4: Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

Se trata de dos apartados, el 3 y el 4 del artículo 4 que más bien deberían de ser uno, puesto que la infracción del segundo implica la del anterior.

–      Procedimiento Nº PS/00421/2008. Referencia a la instrucción 1/1995 de la AEPD relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, supuesto muy común de aplicación del artículo 4.3 LOPD.

La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, abunda en este precepto y, en su Norma Primera, punto 1, establece lo siguiente:

“Norma primera. Calidad de los datos objeto de tratamiento.

1. La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” (artículo 29 de la LOPD) “deberá efectuarse solamente cuando concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.

b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.

3. El acreedor o quien actúe por su cuenta e interés deberá asegurarse que concurren todos los requisitos exigidos en el número 1 de esta norma en el momento de notificar los datos adversos al responsable del fichero común.

4. La comunicación del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, deberá efectuarse por el acreedor o quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana.

De la instrucción 1/1995 de la AEPD se resuelve que, en los supuestos de servicios de información sobre solvencia patrimonial y crédito, la “veracidad y situación actual del afectado” que exige el art. 4.3 LOPD se concreta en la existencia de una deuda cierta, vencida y exigible que haya resultado impagada y un requerimiento previo de pago.

Estamos ante otro claro ejemplo donde la Agencia se remite a su propia función normativa para explicar los conceptos acuñados por la ley.

La importancia del artículo 4.3 LOPD y concretamente en los supuestos de solvencia patrimonial y crédito (los más habituales) queda patente en las 186 resoluciones recaídas en procedimientos sancionadores durante el año 2008, por infracción de este artículo.

▪ Art. 4.5: Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.

–      Procedimiento Nº PS/00104/2005. Tenemos que retroceder hasta el año 2006 para encontrar la única resolución por infracción del artículo 4.5 LOPD. No obstante, resulta muy reveladora la interpretación que sobre este precepto realiza la Agencia.

Por tanto, deberá procederse a la cancelación de los datos al haber dejado de ser necesarios para la finalidad que justificó su tratamiento, como sucederá cuando se haya cumplido el contrato que vincula al responsable del tratamiento con su cliente, aunque, por virtud de la propia relación jurídica o por razón de las responsabilidades que pudieran derivarse de la misma, impuestas por una Ley, dicha cancelación deberá producirse mediante la modalidad de bloqueo de los datos de carácter personal sometidos a tratamiento que, salvo en las circunstancias recogidas en el citado artículo 16.3, in fine de la citada LOPD, no implicará automáticamente su borrado físico. Así, la conservación de los datos prevista en el artículo 16.5 de la LOPD está sometida a determinadas condiciones con las que se pretende asegurar y garantizar el derecho del afectado a la protección de sus datos de carácter personal, de modo que el responsable del fichero no puede disponer de tales datos en la misma medida en que podría hacerlo en caso de que no procediera la cancelación de los mismos.

En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación, tal y como prevé el propio artículo 16.3 de la LOPD, al indicar que “cumplido el citado plazo deberá procederse a la supresión”.

A mi parecer, es importantísimo conocer esa diferencia entre cancelación y bloqueo del dato, matiz que queda perfectamente aclarado en los fundamentos de ésta resolución.

El bloqueo del dato implicaría su no utilización para los mismos fines para los que fue recabado, pero sí para el cumplimiento de otras posibles obligaciones, tales como las tributarias o de cooperación con la administración de justicia. Por otra parte, si con el bloqueo se pretende garantizar el derecho del afectado a la protección de datos, sería conveniente completar este proceso con la disociación del dato.

▪ Art. 4.6: Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

Hasta la fecha no ha habido ninguna infracción de este precepto de la que haya tenido conocimiento la AEPD. También es cierto que es difícil pensar en una definición de fichero que no posibilite el ejercicio del derecho de acceso. A mi entender el acceso al dato es consustancial al concepto de fichero.

▪ Art. 4.7: Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

–      Procedimiento Nº PS/00076/2008. Es importante señalar que las infracciones del artículo 4.7 siempre van unidas a la infracción del artículo 6 (consentimiento del afectado). Por tanto en estos procedimientos nos encontramos con dos sanciones; teniendo en cuenta que la infracción del 4.7 está tipificada como muy grave, es de vital importancia la correcta motivación de estas resoluciones por la AEPD.

La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean obtenidos por medios lícitos y de esta forma sea conocida su utilización por los afectados, siendo los responsables de su obtención quienes responden del cumplimiento de esta obligación.

En este caso, la contratación del servicio puesto en cuestión en el presente procedimiento se realizó a través de la entidad Grupo Avanza. Sin embargo, el denunciante ha manifestado que no solicitó servicio alguno y que no firmó ningún contrato al respecto. Lo cual se ratifica porque no coinciden todos los datos que recogieron, ni la firma con la que se recoge en el DNI del denunciante.

Por tanto existen en el expediente elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos, con incumplimiento de la establecido en el citado artículo 4.7 de la LOPD, lo que permite considerar que la conducta imputada a Grupo Avanza ha quedado suficientemente acreditada.

Es a la entidad Grupo Avanza a la que corresponde acreditar que los datos del denunciante se obtuvieron con cumplimiento de las prescripciones legales y su incumplimiento la hace soportar las consecuencias legales al no haber acreditado la procedencia de los datos. Pues bien, en el presente caso, Grupo Avanza no ha acreditado el origen de los datos incorporados a los contratos de suministro, lo que supone una conducta desleal y fraudulenta.

Durante en año 2008 solo se resolvieron 4 expedientes relacionados con la infracción del artículo 4.7. Esto denota por un lado la gravedad y escasa frecuencia de la conducta tipificada y por otro el celo con el que la Agencia resuelve este tipo de infracciones. Hay que tener presente que estas conductas se sancionan con multas de 300.000 a 600.000 euros. Es por ello que en la resolución comentada la agencia haga hincapié en la existencia de “elementos suficientes para mantener la valoración de los hechos como una obtención fraudulenta de los datos”. Como hemos comentado anteriormente, este tipo de conductas va siempre unido a la infracción del artículo 6 LOPD (consentimiento del afectado). A la falta del citado consentimiento se une una intencionalidad fraudulenta, desleal e ilícita. En este sentido la conducta encajaría más en un tipo penal (de las defraudaciones) que en un ilícito administrativo.

Esta conexión del artículo 4.7 de la LOPD con los tipos penales de hurto o defraudaciones, nos plantea las importantes cuestiones emanadas de la STC 2/2003 sobre el principio del “non bis in idem”, y más teniendo en cuenta la gran diferencia que hay entre la pena asociada a una falta de hurto y una sanción “muy grave” impuesta por la AEPD. Si entendemos la mencionada doctrina como preferencia de la jurisdicción penal sobre la administrativa, en muchos casos la sentencia penal sería mucho más proporcionada y adecuada.

Los principios jurídicos en la protección de datos

El Título II de la LOPD está dedicado a los principios de la protección de datos. Estos principios o criterios tratan de perseguir y asegurar el fin último de la ley, que no es otro que la protección; sin información, consentimiento, seguridad, secreto, etc., no podríamos hablar de datos convenientemente protegidos.

Pues bien, la AEPD, en el ejercicio de sus potestades normativa y sancionadora incide directamente en esa protección, en la salvaguarda de los principios jurídicos en la protección de datos.

La LOPD regula esos principios en plano de igualdad, tan importante es el derecho a la información como el consentimiento del afectado, tan indispensable es la seguridad del dato como el deber de secreto en su tratamiento.

Pero en la práctica, de la propia actividad de la AEPD, se extraen conclusiones que inclinan la balanza sobre unos principios respecto de otros.

Al mismo tiempo las potestades de la Agencia desembocan en una labor interpretativa crucial de esos principios, orientativa y en ocasiones hasta reveladora, de vital importancia en un campo, la protección de datos, que se mueve de manera vertiginosa cogido de la mano de los avances tecnológicos.

En sucesivos artículos vamos a analizar recientes procedimientos sancionadores de la AEPD en busca de esos criterios interpretativos, clasificando el estudio según determinados principios jurídicos en la protección de datos recogidos en la LOPD: calidad de los datos, derecho de información en la recogida de los datos, consentimiento del afectado, seguridad de los datos, deber de secreto y comunicación de datos.