Por María Loza (@mlozac)
Abogada de PRODAT Cataluña

(Lea la primera parte aquí)

Retomando el asunto, las infracciones prescribieron efectivamente en Septiembre de 2011, es decir, cinco meses después, de haberse presentado la denuncia ante la AEPD, y dos meses antes de abrir el PS, por lo que éste comenzó habiendo prescrito ya las infracciones.

Vistos los hechos, podemos pensar por qué el Instructor en su propuesta de resolución no se percató de la mencionada prescripción, o mejor aún, por qué se demoró tanto el período de actuaciones previas de investigación, y se permitió que operase la prescripción. Recordemos que el art 6 del RD 1398/1993 por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora establece que “cuando de las actuaciones previas se concluya que ha prescrito la infracción, el órgano competente acordará la no procedencia de iniciar el procedimiento sancionador”. Y de otro lado, el art 126.2 del RD 1720/2007 establece que “en caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de una infracción, el Director dela Agencia Española de Protección de Datos dictará acuerdo de inicio de procedimiento sancionador”. Pero en este caso no fue así.

A mayor abundamiento, en todos aquellos casos en los que se presenta una denuncia una vez prescrita la infracción, no se abre Procedimiento Sancionador, sino que se procede al archivo de las actuaciones yla AEPD habitualmente reproduce el siguiente párrafo:

 “Teniendo en cuenta, además, que (…), el único modo de interrumpir el cómputo del plazo de prescripción es la iniciación, con conocimiento del interesado, del oportuno procedimiento sancionador, y en el presente caso, al no haber tenido conocimiento de los hechos con anterioridad no ha sido posible formalizar dicha incoación dentro de plazo establecido, procede declararla prescripción de la presunta infracción”.

Es decir, a contrario sensu, la AEPD debió incoar la apertura del PS antes de que aconteciera la prescripción, para poder interrumpir la misma, ya que de otro lado, la apertura del PS carece de todo sentido.

En otras ocasiones, resulta que la infracción prescribe durante la tramitación del expediente, o, dicho de otra manera, antes de que se declare la apertura del PS, y el denunciante ve cómo se archivan las actuaciones en fase de actuaciones previas de investigación, quedando en una posición de absoluta indefensión, ya quela AEPD no toma ningún cuidado (o no puede debido a la carga de trabajo existente), en lo que a los plazos de prescripción de las infracciones se refiere. Estaremos de acuerdo en que el administrado no tiene por qué soportar las consecuencias negativas de un mal funcionamiento dela Administración.

Parece que en el presente caso, nadie se percató de la prescripción de la infracción, (ni, por cierto, de que podíamos estar ante una infracción continuada), ni siquiera el propio Instructor del caso, llegándose a abrir el PS, razón por la cual la AEPD entra a analizar el fondo de la cuestión, (hasta el punto de analizar si procede o no la graduación de la sanción dentro del intervalo de las leves, concluyendo que no), para finalmente acabar archivando.

Todo ello nos lleva a concluir que la AEPD dejó que las infracciones prescribieran en perjuicio del denunciante, el cual no podrá volver a denunciar por los mismos hechos. 

El RDLOPD, establece en su artículo 122.4 que las actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia hubiera tenido entrada en la AEPD. En el presente caso, no se sobrepasa el citado plazo ya que la apertura del PS se notifica a finales de Diciembre de 2011, pero debemos tener en cuenta que la verdadera actividad instructora debe desarrollarse dentro del procedimiento sancionador y no durante el período de actuaciones previas. Aquí vemos cómo en escasos tres meses el Director dela AEPD abre el PS y resuelve, frente a los ocho meses de actuaciones previas de investigación.

Y llegados a este punto, es obligado plantearse qué responsabilidad tiene la AEPD al respecto.

¿Estamos ante una responsabilidad patrimonial de la Administración, por inactividad?  A esta última cuestión, me temo que la respuesta es negativa, ya que los requisitos de efectividad o de la evaluabilidad económica del daño no se dan en el presente supuesto, que además no olvidemos, se considera iniciado de oficio.

En cualquier caso, la AEPD debería realizar un seguimiento de aquellos expedientes iniciados para evitar que las infracciones prescriban, sin más, y evitar, como en el presente caso, no ya que prescriban en fase de actuaciones previas, sino que no se llegue a abrir un PS que nunca debería haber sido abierto extemporáneamente.

Protección de Datos

Por María Loza (@mlozac)
Abogada de PRODAT Cataluña

Se ha publicado recientementela Resolución R/00695/2012 de la AEPD en relación al PS/00628/2011, la cual es muy discutible por varios aspectos, relacionados con la prescripción de la infracción.

En el presente caso, se presenta denuncia ante la AEPD por haber recibido cuatro faxes con carácter de comunicación comercial sin haber facilitado su consentimiento previo y expreso para ello. La AEPD abre Procedimiento Sancionador (PS en adelante) habiendo prescrito ya las infracciones, por lo que procede al archivo (qué otra cosa podía hacer si no).

Normalmente, cuando queda claro que la infracción ya ha prescrito antes de que la AEPD pueda abrir un PS, no se analiza el fondo del asunto y directamente se procede al archivo del expediente por prescripción de la infracción.

En el presente caso, las infracciones no habían prescrito, y la AEPD pierde la oportunidad de interrumpir dicha prescripción, abriendo PS en tiempo. Pero todavía va más allá, lejos de percatarse de la prescripción de las infracciones en fase de actuaciones previas de investigación, llega a abrir PS, para posteriormente, y como no podía ser de otra manera, acabar archivando el expediente.

Vayamos al caso concreto: el denunciante manifiesta haber recibido cuatro faxes, con información comercial no solicitada, en las fechas 29/1/2011, 6/3/2011, 11/3/2011, 13/3/2011. Con fecha de 19 de abril de 2011, se presenta la denuncia ante la AEPD. El 16/02/2012, el Instructor emite propuesta de resolución, solicitando del Director la imposición de una multa de 30.001 euros. En fecha de 08/03/2012, el denunciado presenta alegaciones. El  20/03/2012 el Director de la AEPD emite Resolución.

Reproduciré a continuación textualmente la argumentación de la AEPD:

“Por lo que los faxes enviados han de considerarse de manera individual y por tanto atenerse al plazo de prescripción de las infracciones leves, esto es seis meses, lo que lleva a tener por prescritos todos los envíos en fechas  29/01/2011, 06/03/2011 y 13/03/2011.
Habida cuenta de que el citado acuerdo se notificó en fecha de 29/12/2011, ha acontecido el instituto de la prescripción”.

En primer lugar, parece olvidarse que podemos estar ante una infracción continuada, y por tanto, el momento a partir del cual comienza a contar la prescripción, no es el día del envío de cada uno de los faxes, sino el día del último envío, o en su defecto, el día en que el denunciado procedió al bloqueo de los datos del denunciante.

Siguiendo lo establecido en el art 47.3 de la LOPD, “interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador (…)”. La Ley 30/92 en su art 132.2 lo establece de idéntica manera, al igual que el art 57.2 de la LGT.

La AEPD afirma que dado que el “citado acuerdo” se notificó en fecha de 29/12/2011, acontece el instituto de la prescripción.

Pero veamos, ¿a qué acuerdo se refiere? ¿Al acuerdo de apertura del PS? ¿Al mismo que interrumpe la prescripción? En la Resolución no se especifica la fecha en la que se acuerda la apertura del PS, pero sí que el 16/02/2012, el Instructor emite propuesta de resolución, por lo que por fechas parece encajar, pero repito, parece, porque no hay explicación alguna salvo la referencia al “citado acuerdo” y su fecha de notificación, que no fecha del Acuerdo propiamente dicho.

Dado que es la fecha a partir de la cual se consideraría interrumpida la prescripción, ¿no merece una referencia expresa en el relato de los hechos o en algún otro sitio?

Veamos, si el plazo de prescripción de la infracción comienza a contarse desde el día de la comisión de la misma, vemos que ninguna había prescrito antes de que se presentara la denuncia. Mucho menos si consideramos que se trata de una infracción continuada. Es decir, prescriben dentro del periodo de actuaciones previas de investigación las cuales, recordemos, concluyeron que debía ser impuesta una multa de 30.001 Euros.

Consideramos que estamos ante una infracción continuada, ya que existe una pluralidad de acciones, ilícitas y realizadas con una misma intención (así lo explica la STS Sala de lo C-A de fecha 16-03-2010, Fto. Dcho. 4º, la cual anula una multa impuesta por la AEPD que precisamente consideraba que la infracción no había prescrito por ser ésta continuada).

Por tanto, las infracciones prescribieron efectivamente en Septiembre de 2011 y el acuerdo de apertura del PS se produjo suponemos algún día del mes de Diciembre, por lo que el PS comenzó habiendo prescrito ya las infracciones.

Decir que aun en el caso de no considerar que estuviéramos ante una infracción continuada, el resultado hubiera sido el mismo.

(Continúa aquí).

Protección de Datos

La Generalitat de Catalunya ha publicado una web a través de la cual se pide la colaboración de los ciudadanos para identificar a personas sobre las cuales los Mossos tienen elementos para incriminarlos por su participación en actos delictivos o vandálicos. En la web figuran imágenes de sospechosos sobre los que se solicita información a los ciudadanos.

La polémica ha saltado porque distinguidos compañeros, como Carlos Sánchez Almeida y Josep Jover han expresado sus dudas sobre la adecuación a la normativa sobre protección de datos de esta página. Sin embargo, acudiendo al texto de la LOPD, debemos discrepar de estas opiniones.

El artículo 22.2 de la LOPD establece que se pueden tratar datos sin consentimiento de los afectados, por parte de  las Fuerzas y Cuerpos de Seguridad cuando estemos ante supuestos y categorías de datos que resulten necesarios para la “prevención de un peligro real para la seguridad pública o para la represión de infracciones penales“. Estos datos deberán “ser almacenados en ficheros específicos establecidos al efecto“. Es decir, queda claro que se permite tratar datos personales sin consentimiento de los afectados en un caso como este, puesto que estamos ante sospechosos de haber cometido infracciones penales (e incluso puede hablarse de peligro real para la seguridad pública en algunos casos). No se atenta contra el principio de finalidad, dado que los datos se tratan para las finalidades señaladas: no debemos confundir que el tratamiento inicial de esas imágenes se realizara con una finalidad determinada por quien las captara (parece que proceden de diversas fuentes), con el hecho de que luego los Mossos las utilicen para el cumplimiento de sus funciones relacionadas con la seguridad.

Es más, el artículo 24 excluye también la necesidad de informar a los afectados cuando ello pueda afectar “a la seguridad pública o a la persecución de infracciones penales”. Estamos nuevamente en este caso, con lo que no sólo no es necesario el consentimiento, sino que por supuesto no es necesario cumplir con el principio de información (lo cual sería imposible, por otro lado, puesto que no son personas identificadas).

Yendo más allá, podemos incluso entender que este tratamiento está excluido del ámbito de aplicación de la LOPD, tal y como apunta, aunque sin estar de acuerdo, el compañero David Maeztu. El artículo 2.2.c de la LOPD establece que “el régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación [...]  a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada”. Puede parecer excesivo calificar los hechos que supuestamente han cometido estas personas (aunque no lo sabemos) como de terrorismo, pero no parece ni mucho menos descabellado considerar que podemos estar ante “formas graves de delincuencia organizada“.

Por tanto, es perfectamente defendible no sólo que no vaya contra la LOPD la web de los Mossos, sino que ni siquiera está dentro de su ámbito de aplicación.

Otra cosa es la información que se le da al ciudadano a la hora de enviar sus aportaciones, pero esa es otra historia…

Protección de Datos

La Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado una sentencia por la que se anula una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se imponían dos sanciones a una discoteca por la instalación de cámaras de videovigilancia. Las cámaras se encontraban instaladas en la fachada y vigilaban la entrada del local, por lo que la AEPD entendía que se captaba la vía pública, lo cual está reservado a las Fuerzas y Cuerpos de Seguridad y por tanto se realizaba un tratamiento de datos ilícito, sancionando este hecho con 2.500 euros. La otra sanción, de 800 euros, se imponía por no haber realizado la inscripción del fichero en el Registro General de Protección de Datos.

Es conveniente recordar que el tratamiento de imágenes a través de sistemas de videovigilancia supone un tratamiento de datos de carácter personal y por tanto está sujeto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en concreto a la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

El artículo 7 de esta norma establece la obligación de inscribir el fichero generado por el sistema de videovigilancia, pero aclara que “no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“. La sentencia de la Audiencia Nacional anula esta sanción por considerar que no había grabaciones y, por tanto, no había fichero alguno que inscribir.

Más interesante es la otra sanción, por captar imágenes de la vía pública. De acuerdo con lo establecido en la Ley Orgánica 4/1997esto es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dice también el artículo 4.3 de la Instrucción 1/2006: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos”. Pero ese mismo precepto establece una excepción: ”salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas”.

Es decir, es perfectamente entendible que para la seguridad de entradas a establecimientos o perímetros de fincas, por ejemplo, puedan obtenerse, de forma accesoria, imágenes de la vía pública. Para analizar si esa instalación de videovigilancia es lícita debe realizarse un juicio de proporcionalidad, que no exista posibilidad de instalación alternativa y que la captación de imágenes de la vía pública sea la mínima imprescindible. En el caso que nos ocupa, la AN analiza varios aspectos:

• Las imágenes captadas apenas permitían la identificación de las personas que accedían a al discoteca.
• Las cámaras estaban orientadas de tal modo que si objeto de vigilancia principal era el entorno privado (la entrada al local).
• La captación de imágenes de la vía pública era la mínima imprescindible.
• El sistema no grababa las imágenes, sólo emitía.
• Las imágenes sólo eran vistas por el encargado del local, a fin de controlar el acceso y evitar aglomeraciones.

A la vista de estos hechos, se considera que no hay infracción del principio de consentimiento por captar imágenes en la vía pública y por ello se anula la sanción de la AEPD. Lo interesante de esta sentencia es que las valoraciones que realiza la AN nos pueden servir de guía para determinar cuándo será posible instalar un sistema de videovigilancia que tome imágenes de la vía pública, lo cual es posible pero, como vemos, con limitaciones.

Más sobre este tema: Alfonso Pacheco, en Privacidad Práctica.

Protección de Datos

La Audiencia Nacional ha planteado a través de un auto (que tiene “el detalle” de no eliminar el nombre del afectado) una cuestión prejudicial al Tribunal de Justicia de la Unión Europa en relación con el llamado “derecho al olvido“. Dentro de uno de los muchos procedimiento similares (unos 130) que se encuentran en tramitación en esta sede judicial, la Sala de lo Contencioso Administrativo de la Audiencia Nacional, antes de resolver, ha decidido plantear siete preguntas al TJUE.

Las preguntas resumen a mi juicio muy bien y casi por completo la problemática. Resumiendo, el asunto consiste en si el buscador Google (en este caso, pero es aplicable a otros, por supuesto) realiza un tratamiento de datos de carácter personal y si la normativa española (o europea) le es aplicable, en cuyo caso deberá atender las peticiones de cancelación de datos que le remitan los afectados relacionadas con los resultados de búsqueda.

La sentencia del TJUE será determinante, aunque hay que tener en cuenta que en el borrador del texto del futuro Reglamento europeo sobre protección de datos se incluye un apartado dedicado al “derecho al olvido”, con lo cual la decisión será relativamente menos trascendente.

Las siete cuestiones sobre las que deberá decidir el TJUE son las siguientes:

1 - ¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:

- cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado,
o
- cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa
o
- cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto
al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?

2- ¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro” cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?
¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la Directiva 95/46/CE, el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?

3- ¿Debe aplicarse la Directiva 95/46/CE en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?

4- ¿Debe interpretarse la actividad consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, comprendida en el concepto de “tratamiento de datos”, contenido en el art. 2.b de la Directiva 95/46/CE?

5- ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE, en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?

6- ¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE, requerir directamente al buscador para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información? ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?

7- ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, (regulados en el art. 12.b) y el de oposición (regulado en el art. 14.a de la Directiva 95/46/CE), incluyen la posibilidad de que el interesado puede dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?

Protección de Datos

El título de esta entrada es tan meramente descriptivo como extraordinariamente sensacionalistas son algunos titulares que hemos leído en la prensa al respecto de esta noticia. Ni se va a poder comerciar libremente con nuestros datos ni se mutila la protección de datos, como se han dicho en algunos periódicos.

Lo que ha sucedido es que el Tribunal Supremo, en una sentencia de 8 de febrero de 2012,  ha anulado el art. 10.2.b del Real Decreto 1720/2007.  Este artículo permitía el tratamiento de datos sin consentimiento de su titular en caso de que los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.

En primer lugar lo que tenemos que tener en cuenta es que la noticia se produjo en realidad hace unos meses, cuando el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que este artículo era contrario a lo dispuesto en la Directiva 95/46, tal y como comentamos aquí en una entrada anterior. Por tanto, lo que ha hecho el Tribunal Supremo es lo que ya se sabía que tenía que hacer.

Por otro lado, las consecuencias prácticas son, al menos de momento, prácticamente nulas. Es cierto que no puede exigirse que los datos figuren en fuentes accesibles al público para tratar datos sin consentimiento. Sin embargo, debe realizarse en cada caso una ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Si realizada esa ponderación prevalece el interés del responsable, podrán tratarse los datos sin consentimiento; si prevalecen los derechos afectados del interesado, no se podrá. Y para realizar esa ponderación, la Agencia ya dijo tras la sentencia del TJUE que se va a tener en cuenta el hecho de que figuren en fuentes accesibles al público como criterio de ponderación.

Es cierto que la anulación de este artículo deberá tener trascendencia cuando la Agencia (o los tribunales) empiece a aceptar en sus resoluciones otros criterios de ponderación que legitimen el tratamiento, pero ello está muy lejos de las afirmaciones periodísticas que hemos podido leer.

Más sobre el tema en la web de la Asociación Profesional Española de Privacidad (APEP) y en los blogs de Gontzal Gallo, Jorge Campanillas y Jesús Pérez.

Protección de Datos

Por Fco. Javier Sempere Samaniego
(Asesor de Apoyo Técnico-Jurídico de la
Agencia de Protección de Datos de la Comunidad de Madrid)
y David González Calleja

(Puede leer la primera parte aquí)

Lo cierto es que lo que realmente se plantea es un conflicto de competencias: el poder judicial versus un ente que es Administración independiente. Así que debemos preguntarnos si el Tribunal Supremo, que forma parte del poder judicial, es realmente competente para resolver esta cuestión. Llama muchísimo la atención que hable de la incardinación de la Agencia Española de Protección de Datos (AEPD)  en el poder ejecutivo y sea este Tribunal el que resuelva un conflicto entre la AEPD y el Consejo General del Poder Judicial (CGPJ), cuando el Presidente del Tribunal Supremo es, a su vez, el Presidente de dicho Consejo.

¿Es por tanto el Tribunal Supremo el órgano jurisdiccional adecuado para resolver este conflicto de competencia? ¿Y quién sería el competente para dilucidar esta cuestión? La Ley 2/1987, de 18 de mayo, de Conflictos Jurisdiccionales, dedica sus artículos 1 a 21 a regular los conflictos jurisdiccionales entre los Juzgados o Tribunales y la Administración. El problema es que estos conflictos los resuelve el Tribunal de Conflictos de Jurisdicción que está formado por: “El Presidente del Tribunal Supremo, que lo presidirá, y por cinco vocales, de los que dos serán Magistrados de la Sala de lo Contencioso-administrativo del Tribunal Supremo, designados por el Pleno del Consejo General del Poder Judicial, y los otros tres serán Consejeros Permanentes de Estado, actuando como Secretario el de Gobierno del Tribunal Supremo”. Obviamente, y para el caso que nos ocupa, esta vía tampoco nos da una solución demasiado pacífica para resolver el problema entre el Consejo General del Poder Judicial y la AEPD. Así que nos tememos que nos vamos a quedar sin una respuesta clara.

Además, si bien no se puede discutir el proceso de nombramiento actual del Director de la AEPD –esta sentencia da argumentos para que sea nombrado por las Cortes Generales-, se olvida el carácter independiente de la AEPD. Y es que uno de los elementos de esta independencia es precisamente el carácter inamovible de su Director. De esta forma, sólo podrá ser cesado por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso. En otras palabras, los mismos motivos de cese que los miembros del Tribunal Constitucional (artículo 23.1 de la Ley Orgánica 2/1979).

Asimismo, si seguimos el criterio adoptado por esta Sentencia del Tribunal Supremo, la AEPD tampoco podría controlar los ficheros del Defensor del Pueblo (por ser el Alto Comisionado de las Cortes Generales), incluyendo también a los autonómicos. En este sentido, si consultamos el Registro de Ficheros de la Agencia Española de Protección de Datos, hay ficheros inscritos del Defensor de Pueblo y Defensores del Pueblo Andaluz, Castilla La Mancha (aunque ya no existe), Navarra y Murcia (obviamente, estos son sólo los Defensores que tienen inscritos sus ficheros). O la Autoridad Catalana de Protección de Datos, respecto a los ficheros del Sindic de Greugues (su Defensor del Pueblo); la Agencia Vasca, respecto a los ficheros del Ararteko; y  la APDCM, respecto al Defensor del Menor.

Incluso, rizando el rizo, habría que ver qué ocurre con los ficheros del Congreso, Senado, Parlamentos Autonómicos y Tribunal Constitucional, si bien, consultando el Registro de Ficheros de la AEPD, los ficheros de los citados se refieren a cuestiones meramente administrativas (secretaría general). O habría que preguntarse, incluso, qué ocurre con el Supervisor Europeo de Protección de Datos y los ficheros del TJCE.

En fin, consideramos que ningún órgano administrativo debe controlar la actuación de los jueces y tribunales relacionada con sus funciones jurisdiccionales, pero que es una garantía para el ciudadano (e incluso basada en la división de poderes) que la autoridad de control en materia de protección de datos  pueda ser competente para inspeccionar y declarar infracciones de los jueces y tribunales por el incumplimiento de la normativa sobre protección de datos de carácter personal.

Protección de Datos

Por Fco. Javier Sempere Samaniego
(Asesor de Apoyo Técnico-Jurídico de la
Agencia de Protección de Datos de la Comunidad de Madrid)
y David González Calleja

En una sentencia de 2 de diciembre de 2011, la Sala Tercera de lo Contencioso-Administrativo del Tribunal Supremo ha revocado una sentencia de la Audiencia Nacional y, por tanto, anulado una resolución de la Agencia Española de Protección de Datos (AEPD), por la que se declaraba infracción del Juzgado nº 1 de lo Contencioso Administrativo de La Coruña. La Agencia estimó que el juzgado había infringido el deber de secreto del artículo 10 de la LOPD al aportar partes de baja de algunos funcionarios del juzgado a expedientes disciplinarios abiertos a otros funcionarios en los que se recogían datos de salud.

Si bien al TS parece que no le gusta demasiado la forma de presentar los fundamentos jurídicos por parte del recurrente (“una más depurada técnica casacional y una más cuidadosa redacción de las consideraciones fácticas y jurídicas que se ofrecen en los fundamentos jurídicos, sobre todo evitando reiteraciones y hacer mención a circunstancias irrelevantes, harían, sin duda, más fácil su lectura y comprensión”), lo cierto es que le da la razón en el punto fundamental de este recurso, que no es el fondo del asunto (la infracción del artículo 10 de la LOPD, sobre la que el TS está de acuerdo, según se ve en el Fundamento Jurídico 1º de la sentencia), sino la falta de competencia de la AEPD. Estiman que la Agencia no es competente para investigar y enjuiciar la conducta de un juez en el legítimo desempeño de sus funciones, sino que el control de estas conductas está reservado al Consejo General del Poder Judicial (CGPJ).

Entienden los magistrados del Supremo (y también David Maeztu, con el que amablemente discrepamos) que sólo al órgano de gobierno del poder judicial le corresponde la inspección de juzgados y tribunales (art. 107.3 LOPJ). Pero que el CGPJ tenga esa potestad no excluye, a nuestro juicio, que otros entes públicos puedan realizar inspecciones dentro del ámbito de sus respectivas competencias. Ningún órgano administrativo podrá inspeccionar ni sancionar a un órgano judicial por el ejercicio de sus función jurisdiccional, pero que entren a otras cuestiones que no atañen a esta función, como es la normativa de protección de datos (además en relación con los funcionarios del juzgado) no parece que pueda afectar a su independencia ni al cumplimiento legítimo de sus funciones constitucionales.

Es más, haciendo un poco de “memoria histórica”, el 3 de mayo de 2010 la AEPD y el CGPJ firman un “Convenio de Colaboración sobre inspección de órganos jurisdiccionales en materia de protección de datos”. Leyendo el texto de este Convenio podemos ver que el Consejo pone sus condiciones a la Agencia a la hora de realizar las inspecciones sobre el tratamiento de datos en los Juzgados y Tribunales. Es decir, que acepta que les inspeccionen; con condiciones, sí, pero reconociendo la competencia de los inspectores de la AEPD.

Respecto al ámbito concreto de la protección de datos, el TS se apoya en los artículos 230.5 (por el que se establece que el CGPJ debe dictar un Reglamento en el que se determinarán los requisitos y demás condiciones que afectan al establecimiento y gestión de los ficheros automatizados bajo responsabilidad de los órganos judiciales) y 107.10 de la LOPJ (reglamento de tratamiento de las sentencias asegurar el cumplimiento de la legislación en materia de protección de datos personales). Pero que se disponga de estos reglamentos no quiere decir que no pueda ser controlado el cumplimiento de la normativa por la autoridad de control, sólo que debe elaborarse ese texto que regule estas actuaciones. Es decir, como hacen todas las administraciones públicas, regulan esta materia para dar cumplimiento a la Ley.

Es más, es significativo que la derogada LORTAD excluía en su Disposición Adicional Primera la aplicación de los Títulos dedicados a la Agencia de Protección de Datos y a las Infracciones y Sanciones respecto de los ficheros automatizados de los que eran titulares, entre otros, el Consejo General del Poder Judicial. El hecho de que la LOPD no incluya esta mención explícita como sí hacía la antigua norma, debe también llevarnos a la conclusión de que debe ser de aplicación la LOPD y las potestades de la AEPD también a este ámbito.

(Continúa aquí…) 

Protección de Datos

El artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) exige la existencia, con carácter general, de consentimiento para el tratamiento de datos de carácter personal. Por su parte, el art. 7 de la misma norma exige que el consentimiento sea expreso para el tratamiento de datos especialmente protegidos. Dado que el artículo 7 especifica el consentimiento expreso para algunos casos, es fácilmente deducible que son válidos a estos efectos otros tipos de consentimiento.

Hecha esta pequeña introducción para los no iniciados, debemos preguntarnos qué otros tipos de consentimiento o qué otras formas de expresar la voluntad, pueden ser válidas. No es objeto de este artículo entrar en profundidades ni analizar los matices que pueden encontrarse en la doctrina, pero no obstante podemos distinguir:

• Consentimiento expreso: la voluntad del interesado se expresa a través de una declaración clara por su parte.

• Consentimiento tácito: la voluntad del interesado se deduce de su falta de actuación.

• Consentimiento presunto: la voluntad del interesado se deduce de su comportamiento.

Pese a que en documentos anteriores podemos encontrar la aceptación, por parte de la Agencia Española de Protección de Datos , de estas tres formas de expresar la voluntad, al menos desde el año 2000 no admite el consentimiento presunto, por considerar que no cumple con el requisito de “inequívoco” que exige la LOPD en su art. 6.

Así lo expresaba un informe de 2000, en el que, recogiendo “los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa”, se establecía que el consentimiento debe ser libre, específico, informado e inequívoco “lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento”. Esta interpretación de lo que ha de ser un consentimiento inequívoco ha sido repetida por la AEPD en multitud de resoluciones, y está presente en su página web para explicar las obligaciones de la LOPD en lo referido al consentimiento.

Conociendo esto, me ha sorprendido enormemente leer una resolución por la que se archivan las actuaciones iniciadas contra la Federación de Comunicación y Transportes de Comisiones Obreras, por una denuncia debida a la grabación de las intervenciones realizadas en un congreso de esta organización sin obtener el consentimiento de los afectados. La Agencia considera que “es conforme a derecho la idea de que existiría un consentimiento implícito al respecto del tratamiento de datos referidos a la celebración practicada [...] en base a la participación de éstos [los afiliados intervinientes] en el propio  congreso. Esto es así dado que en materia de protección de datos se articulan tipos de consentimiento más allá del calificado como expreso, como son los consentimientos tácitos y presuntos, desprendiéndose éste último del primigenio comportamiento de los denunciantes, que participaron en el acto sin oposición, debiendo conocer, por tanto, que el acto referido podría ser objeto de grabación”.

Como vemos, la Agencia claramente acepta la existencia de un cosentimiento presunto por parte de los intervenientes en el congreso, dado que conocían la realización de las grabaciones. Puede que haya más resoluciones en las que se acepta el consentimiento presunto, pero no hemos encontrado ninguna.

Hay en la doctrina división de opiniones sobre este asunto y he de decir que estoy de acuerdo con esta interpretación de la Agencia, pero es evidente que estamos ante una resolución que va en contra de la doctrina de la propia AEPD, repetida una y otra vez en multitud de documentos. Es más, en materia de videovigilancia, en la que a mi juicio se da un claro caso de consentimiento presunto (una vez se informa de que una zona está videovigilada, se puede deducir que aquél que entra está consintiendo la grabación de su imagen) la Agencia acude a la Ley 23/1992, de 30 de julio, de Seguridad Privada, para eximir de consentimiento por habilitación legal.

Lo más curioso de todo es que la propia AEPD “tira” del consentimiento presunto en los actos que organiza y graba, informando a los asistentes, pero sin obtener su consentimiento expresamente (y sin que se pueda amparar en la seguridad, puesto que la finalidad de la grabación es dar difusión al acto y no la videovigilancia por razones de seguridad).

En fin, que estamos ante un claro caso de inconsistencia en las resoluciones de la Agencia, que deberían garantizar más seguridad jurídica y un criterio más uniforme.

Protección de Datos

El Tribunal de Justicia de la Unión Europa (TJUE) ha dictado una sentencia por la que se resuelven dos cuestiones prejudiciales elevadas por el Tribunal Supremo. Estas cuestiones se derivan de los recursos presentados por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Federación de Comercio Electrónico y Marketing Directo (FECEMD) contra determinado contenido del artículo 10 del Real Decreto 1720/2007, por el que se desarrolla la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). Este artículo, entre otras cosas, permite el tratamiento de datos sin consentimiento del interesado cuando los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado“. 

Este precepto trata de recoger lo dispuesto en el artículo 7 de la Directiva 95/46, que establece que podrán tratarse datos sin consentimiento si  “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

¿Cuál es el problema? Pues que la normativa española exige, además del requisito del interés legítimo del responsable del tratamiento, y de que no prevalezca el interés o los derechos del afectado, que los datos figuren en fuentes accesibles al público. Esta es la primera pregunta que realiza el Supremo al TJUE, y la respuesta es clara: la Directiva se opone a que se exija este requisito adicional. A la vista de esto, al Supremo no le queda otro remedio que llevar a su fallo esta sentencia del TJUE, con lo que el artículo 10 del Real Decreto 1720/2007 no podrá seguir exigiendo que los datos figuren en fuentes accesibles al público.

La Agencia Española de Protección de Datos (AEPD) ha reaccionado a esta sentencia y en una nota de prensa ha dicho, básicamente, que la sentencia (resumida aquí por Gontzal Gallo) no altera el marco vigente de la Protección de Datos en España, puesto que ya venía interpretando el hecho de que los datos figuren en fuentes accesibles al público como un mero criterio de ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Sin embargo, no es difícil encontrar procedimientos sancionadores, incluso recientes, en los que no se realiza ninguna ponderación en este sentido, rechazando la posibilidad del tratamiento de datos sin consentimiento si no figuran los datos en fuentes accesibles al público. Es más, la propia Agencia dice que, dado que se trata de una excepción, “debe aplicarse de forma restrictiva”. Por tanto, quizá sea más correcto decir que este será el criterio interpretativo a partir de ahora, con lo que, en mi opinión, sí que hay alteración del estado de las cosas.

Además tenemos que tener muy en cuenta la resolución de la segunda cuestión prejudicial planteada, en relación con el efecto directo del art. 7.f de la Directiva. El TJUE responde, como era de esperar, que sí que tiene efecto directo, con lo cual lo dispuesto en esta norma puede ser invocado por un particular y aplicado por los órganos jurisdiccionales nacionales. Esto tiene una importancia adicional, puesto que debemos recordar que el artículo 6.2 de la LOPD también incorpora el requisito de que los datos figuren en fuentes accesibles al público, requisito que, por lo que acabamos de ver en esta sentencia, es contrario a lo dispuesto en la Directiva.

Protección de Datos