Por María Loza (@mlozac)
Abogada de PRODAT Cataluña

(Lea la primera parte aquí)

Retomando el asunto, las infracciones prescribieron efectivamente en Septiembre de 2011, es decir, cinco meses después, de haberse presentado la denuncia ante la AEPD, y dos meses antes de abrir el PS, por lo que éste comenzó habiendo prescrito ya las infracciones.

Vistos los hechos, podemos pensar por qué el Instructor en su propuesta de resolución no se percató de la mencionada prescripción, o mejor aún, por qué se demoró tanto el período de actuaciones previas de investigación, y se permitió que operase la prescripción. Recordemos que el art 6 del RD 1398/1993 por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora establece que “cuando de las actuaciones previas se concluya que ha prescrito la infracción, el órgano competente acordará la no procedencia de iniciar el procedimiento sancionador”. Y de otro lado, el art 126.2 del RD 1720/2007 establece que “en caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de una infracción, el Director dela Agencia Española de Protección de Datos dictará acuerdo de inicio de procedimiento sancionador”. Pero en este caso no fue así.

A mayor abundamiento, en todos aquellos casos en los que se presenta una denuncia una vez prescrita la infracción, no se abre Procedimiento Sancionador, sino que se procede al archivo de las actuaciones yla AEPD habitualmente reproduce el siguiente párrafo:

 “Teniendo en cuenta, además, que (…), el único modo de interrumpir el cómputo del plazo de prescripción es la iniciación, con conocimiento del interesado, del oportuno procedimiento sancionador, y en el presente caso, al no haber tenido conocimiento de los hechos con anterioridad no ha sido posible formalizar dicha incoación dentro de plazo establecido, procede declararla prescripción de la presunta infracción”.

Es decir, a contrario sensu, la AEPD debió incoar la apertura del PS antes de que aconteciera la prescripción, para poder interrumpir la misma, ya que de otro lado, la apertura del PS carece de todo sentido.

En otras ocasiones, resulta que la infracción prescribe durante la tramitación del expediente, o, dicho de otra manera, antes de que se declare la apertura del PS, y el denunciante ve cómo se archivan las actuaciones en fase de actuaciones previas de investigación, quedando en una posición de absoluta indefensión, ya quela AEPD no toma ningún cuidado (o no puede debido a la carga de trabajo existente), en lo que a los plazos de prescripción de las infracciones se refiere. Estaremos de acuerdo en que el administrado no tiene por qué soportar las consecuencias negativas de un mal funcionamiento dela Administración.

Parece que en el presente caso, nadie se percató de la prescripción de la infracción, (ni, por cierto, de que podíamos estar ante una infracción continuada), ni siquiera el propio Instructor del caso, llegándose a abrir el PS, razón por la cual la AEPD entra a analizar el fondo de la cuestión, (hasta el punto de analizar si procede o no la graduación de la sanción dentro del intervalo de las leves, concluyendo que no), para finalmente acabar archivando.

Todo ello nos lleva a concluir que la AEPD dejó que las infracciones prescribieran en perjuicio del denunciante, el cual no podrá volver a denunciar por los mismos hechos. 

El RDLOPD, establece en su artículo 122.4 que las actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia hubiera tenido entrada en la AEPD. En el presente caso, no se sobrepasa el citado plazo ya que la apertura del PS se notifica a finales de Diciembre de 2011, pero debemos tener en cuenta que la verdadera actividad instructora debe desarrollarse dentro del procedimiento sancionador y no durante el período de actuaciones previas. Aquí vemos cómo en escasos tres meses el Director dela AEPD abre el PS y resuelve, frente a los ocho meses de actuaciones previas de investigación.

Y llegados a este punto, es obligado plantearse qué responsabilidad tiene la AEPD al respecto.

¿Estamos ante una responsabilidad patrimonial de la Administración, por inactividad?  A esta última cuestión, me temo que la respuesta es negativa, ya que los requisitos de efectividad o de la evaluabilidad económica del daño no se dan en el presente supuesto, que además no olvidemos, se considera iniciado de oficio.

En cualquier caso, la AEPD debería realizar un seguimiento de aquellos expedientes iniciados para evitar que las infracciones prescriban, sin más, y evitar, como en el presente caso, no ya que prescriban en fase de actuaciones previas, sino que no se llegue a abrir un PS que nunca debería haber sido abierto extemporáneamente.

Protección de Datos

Por María Loza (@mlozac)
Abogada de PRODAT Cataluña

Se ha publicado recientementela Resolución R/00695/2012 de la AEPD en relación al PS/00628/2011, la cual es muy discutible por varios aspectos, relacionados con la prescripción de la infracción.

En el presente caso, se presenta denuncia ante la AEPD por haber recibido cuatro faxes con carácter de comunicación comercial sin haber facilitado su consentimiento previo y expreso para ello. La AEPD abre Procedimiento Sancionador (PS en adelante) habiendo prescrito ya las infracciones, por lo que procede al archivo (qué otra cosa podía hacer si no).

Normalmente, cuando queda claro que la infracción ya ha prescrito antes de que la AEPD pueda abrir un PS, no se analiza el fondo del asunto y directamente se procede al archivo del expediente por prescripción de la infracción.

En el presente caso, las infracciones no habían prescrito, y la AEPD pierde la oportunidad de interrumpir dicha prescripción, abriendo PS en tiempo. Pero todavía va más allá, lejos de percatarse de la prescripción de las infracciones en fase de actuaciones previas de investigación, llega a abrir PS, para posteriormente, y como no podía ser de otra manera, acabar archivando el expediente.

Vayamos al caso concreto: el denunciante manifiesta haber recibido cuatro faxes, con información comercial no solicitada, en las fechas 29/1/2011, 6/3/2011, 11/3/2011, 13/3/2011. Con fecha de 19 de abril de 2011, se presenta la denuncia ante la AEPD. El 16/02/2012, el Instructor emite propuesta de resolución, solicitando del Director la imposición de una multa de 30.001 euros. En fecha de 08/03/2012, el denunciado presenta alegaciones. El  20/03/2012 el Director de la AEPD emite Resolución.

Reproduciré a continuación textualmente la argumentación de la AEPD:

“Por lo que los faxes enviados han de considerarse de manera individual y por tanto atenerse al plazo de prescripción de las infracciones leves, esto es seis meses, lo que lleva a tener por prescritos todos los envíos en fechas  29/01/2011, 06/03/2011 y 13/03/2011.
Habida cuenta de que el citado acuerdo se notificó en fecha de 29/12/2011, ha acontecido el instituto de la prescripción”.

En primer lugar, parece olvidarse que podemos estar ante una infracción continuada, y por tanto, el momento a partir del cual comienza a contar la prescripción, no es el día del envío de cada uno de los faxes, sino el día del último envío, o en su defecto, el día en que el denunciado procedió al bloqueo de los datos del denunciante.

Siguiendo lo establecido en el art 47.3 de la LOPD, “interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador (…)”. La Ley 30/92 en su art 132.2 lo establece de idéntica manera, al igual que el art 57.2 de la LGT.

La AEPD afirma que dado que el “citado acuerdo” se notificó en fecha de 29/12/2011, acontece el instituto de la prescripción.

Pero veamos, ¿a qué acuerdo se refiere? ¿Al acuerdo de apertura del PS? ¿Al mismo que interrumpe la prescripción? En la Resolución no se especifica la fecha en la que se acuerda la apertura del PS, pero sí que el 16/02/2012, el Instructor emite propuesta de resolución, por lo que por fechas parece encajar, pero repito, parece, porque no hay explicación alguna salvo la referencia al “citado acuerdo” y su fecha de notificación, que no fecha del Acuerdo propiamente dicho.

Dado que es la fecha a partir de la cual se consideraría interrumpida la prescripción, ¿no merece una referencia expresa en el relato de los hechos o en algún otro sitio?

Veamos, si el plazo de prescripción de la infracción comienza a contarse desde el día de la comisión de la misma, vemos que ninguna había prescrito antes de que se presentara la denuncia. Mucho menos si consideramos que se trata de una infracción continuada. Es decir, prescriben dentro del periodo de actuaciones previas de investigación las cuales, recordemos, concluyeron que debía ser impuesta una multa de 30.001 Euros.

Consideramos que estamos ante una infracción continuada, ya que existe una pluralidad de acciones, ilícitas y realizadas con una misma intención (así lo explica la STS Sala de lo C-A de fecha 16-03-2010, Fto. Dcho. 4º, la cual anula una multa impuesta por la AEPD que precisamente consideraba que la infracción no había prescrito por ser ésta continuada).

Por tanto, las infracciones prescribieron efectivamente en Septiembre de 2011 y el acuerdo de apertura del PS se produjo suponemos algún día del mes de Diciembre, por lo que el PS comenzó habiendo prescrito ya las infracciones.

Decir que aun en el caso de no considerar que estuviéramos ante una infracción continuada, el resultado hubiera sido el mismo.

(Continúa aquí).

Protección de Datos

Comentábamos ayer en la anterior entrada las novedades legislativas producidas en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) por el Real Decreto-ley 13/2012, de 30 de marzo. En materia de “cookies” se modifica la redacción del artículo 22.2 de esta norma, de forma que a partir de ahora “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”. 

¿Qué sucede en caso de incumplimiento de este precepto? Hay que acudir para saberlo al Título VII de la LSSI, en el que se detallan las infracciones y sanciones y, en concreto, a los artículos 38.3.i y 38.4.g, que tipifican con infracción grave y leve, respectivamente, el incumplimiento (“significativo” para que sea grave) “de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22“.

El régimen sancionador no ha sido modificado por el Real Decreto-ley 13/2012, con lo que sigue vigente el mismo, en el que, como acabamos de ver, no se menciona la falta de consentimiento de los destinatarios, sino sólo la falta de información o del procedimiento de rechazo. Podría pensarse que no es necesario que se haga esta modificación, dado que puede entenderse incluido el incumplimiento de lo que consta en el artículo 22.2. Pero no debemos olvidar que nos encontramos dentro del ámbito del derecho sancionador, en el que rige, como uno de los principios fundamentales, el principio de tipicidad.

El principio de tipicidad conlleva que los hechos constitutivos de infracción y las sanciones han de estar explícitamente recogidos en la norma. Por tanto, para poder sancionar, es necesario que las acciones analizadas sean exactamente las mismas que las que señale el tipo legal. Así lo establece el artículo 129 de la Ley 30/1992: “sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley [...]. Únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley [...]. Las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica“.

En el caso que nos ocupa, como acabamos de ver, no se hace mención en el régimen sancionador de la LSSI al incumplimiento de la obligación de obtener el consentimiento, con lo que, ateniéndonos al principio de tipicidad, no será posible imponer sanciones por esta omisión. Quizá algún administrativista venga a enmendarme la plana, pero al menos lo que está claro es que resulta bastante chapucero por parte del legislador modificar las obligaciones y no adaptar el régimen sancionador de la ley a estas nuevas previsiones legales.

Muchas gracias y mi reconocimiento a Jose, comentarista de la anterior entrada, que fue quien me puso sobre la pista de este hecho.

Comercio Electrónico

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.

En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.

Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.

También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.

En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.

El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.

Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.

Protección de Datos, Redes sociales

El pasado 12 de mayo se celebró en la Universidad CEU-San Pablo de Madrid una jornada sobre la modificación del régimen sancionador de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). Organizada por el exdirector de la Agencia Española de Protección de Datos, José Luis Piñar Mañas, contó, además de con su participación, con la de Jesús Rubí Navarrete (Adjunto al Director de la AEPD), Álvaro Canales (exsubdirector de Inspección de la AEPD) y Dª Nieves Buisan (Magistrada de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional).

A lo largo de la muy interesante mañana se comentaron y debatieron algunos de los temas sobre los que ya hemos tratado en una anterior entrada, pero quizá lo más significativo fueron las consideraciones que realizó el sr. Rubí al respecto del apercibimiento. Recordemos que el nuevo artículo 45.6 de la LOPD establece que “excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable“. De la intervención del Director Adjunto de la AEPD podemos deducir una serie de cuestiones:

• El procedimiento requerirá que haya, en primer lugar, una constatación de los hechos por parte de la AEPD. Una vez constatados, se dará audiencia a las partes (denunciante y denunciado), otorgándoles un plazo común de 15 días para que aleguen lo que estimen oportuno. Por último, si se confirma el apercibimiento, se requerirá al responsable para que acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, en un plazo de un mes (la Ley dice “en el plazo que el órgano sancionador determine“).
• Pese a que, según la Ley, ha de tener un carácter excepcional, es intención de la Agencia aplicarlo más a menudo para determinados tipos de responsables, como autónomos, pequeñas empresas,  organizaciones no gubernamentales, entidades sin ánimo de lucro y partidos políticos.
• Uno de los requisitos para que se pueda acudir al apercibimiento es que“el infractor no hubiese sido sancionado o apercibido con anterioridad“. A este respecto, la Agencia va a tener en consideración todas las sanciones anteriores, no sólo las que provengan de la nueva regulación. En relación con esto, creo que la Agencia no debería olvidar que las sanciones, de acuerdo con el artículo 47.4 de la LOPD, están sujetas a prescripción (a los tres, dos o un año, en función de su gravedad), con lo que no deberían tenerse en cuenta las sanciones ya prescritas.
• Otro matiz a considerar es que el apercibimiento no interrumpe la prescripción, con lo cual durante el trámite del apercibimiento puede producirse la prescripción de la propia infracción objeto del procedimiento.
• Por último, en el artículo 44.3.i de la LOPD se recoge como infracción grave el no antender un apercibimiento de la Agencia. En caso de que el infractor no lo atienda, debemos hacernos una pregunta: ¿se volverán a examinar los hechos que motivaron el apercibimiento? Y, en ese caso, ¿el infractor podrá ser sancionado doblemente, tanto por no atender el apercibimiento, como por la infracción originaria? Parece que la Agencia se inclina por que no haya una doble sanción, pero veremos cómo lo resuelve.

En fin, como vemos, esta novedad del procedimiento sancionador deja unos cuantos interrogantes, con lo cual habrá que estar atento a las primeras resoluciones de la Agencia y, a buen seguro, a la interpretación de la Audiencia Nacional.

Protección de Datos

La Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), ha sido muy comentada fundamentalmente por contener la llamada “Ley Sinde“, de la que ya hemos hablado y seguro volveremos a hablar en el futuro, porque es de esperar que tanto su desarrollo reglamentario, como su puesta en práctica, den para mucho. Sin embargo, lo cierto es que, como se puede ver en este completo resumen, tanto cualitativa como cuantitativamente la Ley Sinde era un asunto menor dentro del conjunto del texto de la LES. Y dentro de las materias que tiene este blog como competencia, lo más significativo es la importante reforma que opera la disposición final quincuagésima sexta de la LES, que modifica sustancialmente el régimen sancionador de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD).

Dado que, como consecuencia de la criticable práctica de incorporar la modificación en la LES, la Exposición de Motivos no explica las razones de la reforma, tendremos que pensar que su objetivo es probable que sea, como dice la Agencia Española de Protección Datos en una nota de prensa, aportar “mayor seguridad jurídica” y contribuir a lograr una “mayor precisión en la aplicacion de la norma”. Será la aplicación práctica la que nos permitirá saber si se logran estos objetivos, pero a priori podemos estar sólo parcialmente de acuerdo.

Las principales novedades de la reforma son las siguientes:

• Las modificaciones más significativas son las referidas a la tipificación de las sanciones. En general, el cambio es bueno, puesto que se aclaran algunas infracciones y se armonizan distintas sanciones. La más acertada, en mi opinión, es la modificación del antiguo “cajón de sastre” que suponía en art. 44.3.d, que ahora se refiere (44.3.c), a la conculcación de los principios del artículo 4 de la Ley, es decir, sólo del principio de calidad de los datos.
• Se modifican los importes de las sanciones leves y graves (art. 45.1 y 2): las sanciones por infracciones leves pasan a ser sancionadas con multa de 900 a 40.000 euros, y las graves con multa de 40.001 a 300.000 euros. Es decir, que sube el mínimo y baja el máximo de las sanciones leves. No encuentro ninguna razón, ni a favor ni en contra, para realizar este cambio, la verdad.
• Se modifican los criterios de graduación de las sanciones (art. 45.4): prácticamente la única novedad estriba en que se introduce como criterio “el volumen de negocio o actividad del infractor”. Está bien que se incorpore este criterio, el cual, la mayoría de los profesionales de la materia suponíamos que en realidad ya lo ha venido teniendo en cuenta la Agencia en la determinación de las sanciones. Lo mismo sucede con el hecho de que la entidad imputada tuviera implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, beneficiando de este modo a aquellos que puedan demostrar haber tenido una preocupación en el cumplimiento de la Ley.
• Se introducen modificaciones en los circunstancias que permiten  aplicar una sanción inferior en grado (art. 45.5): aquí hay importantes novedades, puesto que se introducen nuevos criterios que antes no se tenían en cuenta. Lo más significativo es el caso en el que el infractor haya “regularizado la situación irregular de forma diligente”. El problema es determinar cómo se puede regularizar la situación irregular, teniendo en cuenta que sólo se puede afirmar que existe tal situación irregular cuando la Agencia haya declarado la infracción (y en ese momento ya impone la sanción). Suponemos que tendrá el infractor que reconocer la infracción desde que se inicia la instrucción del procedimiento (el cual además es otro de los criterios recogidos en este artículo, con lo que en la práctica hay casi una duplicidad en este criterio de graduación), independientemente de que se haya producido o no realmente una infracción.
• Se introduce la figura del apercibimiento para aquellos infractores leves o graves no reincidentes  (art. 45.6): el apercibimiento tendrá carácter excepcional y se podrá aplicar cuando concurran “significativamente” los criterios del apartado anterior. Aquí la pretendida seguridad jurídica brilla por su ausencia, veremos qué entiende la Agencia por “excepcional” y “significativamente”.

La modificación entró en vigor el pasado 6 de marzo, pero hay que tener en cuenta que muchas de las modificaciones suponen situaciones más favorables para los infractores, con lo cual, en virtud del principio de retroactividad de la norma sancionadora más favorable, podrán benficiarse de ella aquellos con procemientos sancionadores en tramitación que traigan causa de hechos realizados con anterioridad a la publicación de la Ley.

Protección de Datos